RSコンポーネンツ/西東京複合機 怪しい迷惑メールにWordファイルdoc添付 正体はマクロウイルス

イメージ 3

実在する電子部品販売会社「アールエスコンポーネンツRSコンポーネンツ」を名乗って、”出荷のご案内”と称した怪しい迷惑メール(スパムメール)がバラ撒かれたようで報告たくさん。
 
あと、実在しないっぽいナゾの「西東京複合機」を名乗って、複合機から送信されたかのよう偽装された迷惑メール(スパムメール)も。。。
 
■ 新手のスパム―アールエスコンポーネンツを騙る らくをしてもくろぅ part2/ウェブリブログ
http://kurochan001.at.webry.info/201510/article_2.html

■ アールエスコンポーネンツを装ったウィルスメール 追記 - SGキャラ名 qupybq 笑うな!ID入れたつもりだったんだよ!
http://32226.diarynote.jp/201510080912339114/

■ gakさんはTwitterを使っています: "「アールエスコンポーネンツ」より出荷のご案内メール PDF添付と書いてあるのに.docファイル 「西東京複合機」から送信というメールにも.docの添付 両方とも怪しさ満点 絶対開いちゃダメ!"
https://twitter.com/gak_kag/status/651921228622462977
 
■ えすえぬさんはTwitterを使っています: "久しぶりにウイルス付きメールが来た。"
https://twitter.com/sn056jp/status/651921868966903808
 
■ ひろさんはTwitterを使っています: "ウィルスっぽいメールが来た! 頼んでもいないのに「アールエスコンポーネンツへ御注文いただき、誠に有難うございます。」ってやつ。 必ず添付の「出荷のご案内」(pdf.ファイル)をご確認ください。って書いてあるのに添付は、ワードファイル。"
https://twitter.com/hiro1979_/status/651906560877158400
 
■ イニさんはTwitterを使っています: "アールエスコンポーネンツから出荷案内のメールが届いた。注文なんかしてないし。間違えやすいメールアドレスなら誰かが間違えたんだろうけど間違いはあり得ない。 内容は添付pdfに書かれてるとあるが添付されてるのはdoc。今時docウイルスって流行ってるの?"
https://twitter.com/rolly_jp/status/651898481490071552

■ なみなみくらうどさんはTwitterを使っています: "「【RSコンポーネンツより】ご注文ありがとうございました-添付ファイル「出荷のご案内」を必ずご確認ください」という不審なメールが到着。PDFが添付と書いてあるがdocファイルが添付されておりウイルス入りと思われる。実在の通販会社の名を騙るスパムメール。"
https://twitter.com/naminamicloud/status/651906133498576896

■ おーよそさんはTwitterを使っています: "RSコンポーネンツってとこから見覚えない注文完了メール届いて、なんやこれ怪しいなと思ったらやはりスパムメールっぽい。"
https://twitter.com/_ooyso/status/651917259376463872

■ しげっちさんはTwitterを使っています: "「カスタマーナンバー:17374973-00001 オーダーNo.:13233939SE この度はアールエスコンポーネンツへご注文をいただき、誠に有難うございます。」というウイルス付きメールが届いた"
https://twitter.com/shigechika/status/651877814422122496
 
■ うにさんはTwitterを使っています: "RSコンポーネンツから、フィッシングメールみたいのが来たぞ いや、正確にはRSコンポーネンツを語るメールだな、IP:117.247.205.75 で持ち主はインドみたいだ。"
https://twitter.com/uni_2030/status/651915692644503552

■ Analysis CenterさんはTwitterを使っています: "特定の組織からの注文連絡や複合機の自動送信メールを装った、日本語のマルウェア添付メールが出回っています。添付ファイルはマクロ付き Word 文書(.doc)で、マクロを実行してしまうとバンキングトロイ Shifu がダウンロードおよび実行されることを確認しています。^HT"
https://twitter.com/jpcert_ac/status/652041086299324416
 
Eメールには Word文書ファイル拡張子 .doc) が添付されてるそうで、これは注文確認通知書や受信データでも何でもなく、不正なマクロウイルスです。
 
イメージ 2
マクロを許可すると実行ファイル fDe12.exe がWordのプロセス下に出現

Word文書ファイル / マクロウイルス
20151007112034511.doc
1312061102_13233939SE.doc
 
MD5 d73b64403986b5c23a84060147c1f4f5
www.virustotal.com/ja/file/2b83bf825a86ac3e2bf72b5fd5f9fbc4922aa241f149cc03f8e5401322095563/analysis/1444262946/
 

MD5 839b46c9043cecfa61ce10e5c1a6608b
www.virustotal.com/ja/file/6e6d80575154523a2b7207f8263f79b3c9cc08dcc30c23084d2c3103e15b41d7/analysis/1444254088/

 
 ↓ マクロを許可するとダウンロードしてきて起動
 
Windows向け実行ファイル
MD5 192ec79c4506e32ea95b2dbcf6989473
www.virustotal.com/ja/file/7c2f867cbca04c854ce43085e24c7f2e9b934a2165928d6e528bfb97f4840bb1/analysis/1444255051/

メールの添付ファイルの攻撃対象はWindowsパソコンだけで、Mac OS や スマホ(Android、iPhone) らへんは動かないから関係なし。
 
マクロウイルスを使った攻撃は、2014年あたりから主に英語メールに添付する形で復活してるけど、複数の日本人を狙う日本語メールの攻撃は始めて目にする? <言語の壁が崩れた…
 
成りすまし対象と思われるアールエスコンポーネンツ株式会社の通販サイトページでは、企業を騙った偽メールの注意喚起情報が出てます。
 
イメージ 1
RSコンポーネンツに成りすました迷惑メール/スパムメールについて
 
重要なお知らせ : 弊社の名前を騙った受注確認メールをお受け取りいただいた方へ
弊社の名前を騙る受注確認メールが送られてきている旨のお問い合わせを多数いただいております。
これは極めて悪質なメールであり、弊社とはまったく無関係なものです。弊社から送信する受注確認メールには添付ファイルを使用しておりません。
http://jp.rs-online.com/web/
 

 
<10月9日 追記...>
 
Windowsパソコンを狙って、ネットバンキングの情報を盗み取り不正送金被害につながるコンピュータウイルス(Shiz/Shifuウイルス)の感染を狙ったものだそうで、注意喚起の情報がでました。
 
「注文確認」、「複合機」2種の偽装メールを同時に確認、狙いはネットバンキング | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12343
 
【注意喚起】特定の組織からの注文連絡等を装ったばらまき型メールに注意:IPA 情報処理推進機構
http://www.ipa.go.jp/security/topics/alert271009.html
 
Japanese Banking Trojan "Shifu" Distributed via Malicious Word Documents - Websense
http://community.websense.com/blogs/securitylabs/archive/2015/10/12/japanese-banking-trojan-shifu-distributed-via-malicious-word-documents.aspx
 
当社名を騙る不審なメールにご注意ください | 半導体・電子部品の通販 RSオンライン
http://jp.rs-online.com/web/generalDisplay.html?id=announcement/info_151009
 
弊社複合機からの電子メール送信を装った不審なメールにご注意ください | リコー
http://jp.ricoh.com/info/notice/2015/1008_1.html 
 
セキュリティ会社トレンドマイクロは13,000通(12時間中)の迷惑メールを、米セキュリティ会社Websenseでは16,000通を確認したとか。
 
恐らく世界に存在し、攻撃者に遠隔で操られてるボットを利用してメールが配信されたんでしょうねー。

ウイルス検出名例

avast! Win32:Malware-gen
AVG Zbot.AHYO Generic14_c.FVR W97M/Downloader.AG
Avira TR/Crypt.Xpack.293189 WM/Agent.kas WM/Agent.gag.3
ESET Win32/Kryptik.DZTO VBA/TrojanDownloader.Agent.AED
Kaspersky Trojan.Win32.Yakes.mqyk Trojan-Downloader.VBS.Agent.auf
McAfee GenericR-EQT W97M/Downloader.aok
Microsoft Trojan:Win32/Pariham.A TrojanDownloader:O97M/Daoyap.A
Sophos Troj/Agent-AOXY Troj/DocDl-ADD
Symantec Infostealer.Shiz W97M.Downloader
Trend Micro TSPY_SHIZ.JH W2KM_DLOADR.LCN W2KM_SWIZZOR.A
関連するブログ記事