【画像】複合機の受信通知Message from迷惑メール Word文書でウイルス感染攻撃
実際に販売されてる複合機からのデータ受信通知を装った英語表記な迷惑メール(スパムメール)が先週あたりに無差別でバラ撒かれたそう。
メールの件名 ⇒ Message from KMBT_C280
■ 複合機の通知を偽装したメールがマクロ型不正プログラムを頒布、日本でも被害 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/11776
■ Threat Outbreak Alert RuleID16029: Email Messages Distributing Malicious Software on June 17, 2015 (Cisco)
http://tools.cisco.com/security/center/mviewAlert.x?alertId=39393
http://blog.trendmicro.co.jp/archives/11776
■ Threat Outbreak Alert RuleID16029: Email Messages Distributing Malicious Software on June 17, 2015 (Cisco)
http://tools.cisco.com/security/center/mviewAlert.x?alertId=39393
複合機はファックス、コピー、スキャナ、プリンタなどの機能が1つにまとめられてる機器で、業務マシン宛てにメールが送信されたよう誤認するのを攻撃者は期待してる?
ちなみに、このメールは日本のユーザーのみならず世界中に配信されてるようで、特定の団体や企業を限定的に狙う標的型攻撃(APT)じゃないですよぅ。
メールに添付されたWord文章ファイルの正体
このメールには、Microsoft Office に実装されてるマクロ機能を悪用する Word文書ファイル(ファイルの拡張子 *.doc) が添付されてます。
ユーザーに受信データと思い込ませて騙し、勢いよく開いてしまうのを狙った形。 <マクロ型ウイルス!
この文書を Microsoft Word でうっかり開いても、マクロ機能は標準ではブロックされるようになってるけど、ユーザーの意思でマクロの動作の許可を与えてしまえば攻撃処理が発動してしまいます。
メールに添付されてたWordファイル現物の画像
- SKMBT_C28015061614410.doc
→ コニカミノルタ製の複合機からの送信データを装ってる
(SKMBT = Scan Konica Minolta Business Technologies)
- [数値]_FMM_[数値].doc
→ ???
MD5 24dede8dad28f091ad9b424a62edff06
www.virustotal.com/ja/file/e6f24c5632605cf43b502a1d69032c27432f1f463c0f4c671c55ccffd1515ff7/analysis/1434529119/
なお、このファイルはWindowsパソコンだけが攻撃対象であり、Mac OS やスマートフォン(Android、iPhine)や ガラケー らへんは動作の範疇外です。
外部ネットワークから実行ファイルをダウンロード!
このマクロウイルスの機能的な役目は、外部ネットワークからマルウェア本体であるWindows向け実行ファイル(ファイルの拡張子 *exe)をひっそりダウンロードしてきて起動する動作です。
セキュリティ対策ソフトによる検出を回避するため不正な処理を隠す難読化処理が…
不正な実行ファイルは、経済ニュースの記事?をのせてるベルギーの正規サイトのサーバー上にアップされとりますかい! <悪意のある第三者が不正アクセスしてる
<追記...>
成りすましの対象となったコニカミノルタから注意喚起情報が発表されてます。
■ 当社複合機からのScan to E-mail機能を装った不審なメールにご注意ください - 重要なお知らせ | コニカミノルタ
http://www.konicaminolta.jp/business/support/important/scan_to_email.html
http://www.konicaminolta.jp/business/support/important/scan_to_email.html
「Scan to E-mail」は、複合機のスキャナーで読み取った文書を電子メール宛に送信してくれる機能とのことで。