ホテルオークラ「One Harmonyシステム利用料の送付」迷惑メール PDF偽装ウイルス付き
日本のホテル運営会社として実在するホテルオークラに成りすまし、『【請求書】One Harmonyシステム利用料の送付』なる件名の添付ファイル付き迷惑メール(スパムメール)がバラ撒かれたそう。
■ もうさんはTwitterを使っています: "ホテルオークラから怪しいメールきたーーーー!!↓ One Harmony 事務局 【請求書】One Harmonyシステム利用料の送付 Yoshinori SARUTA/HOC sarutay@hotelokura[.]co.jp"
https://twitter.com/2cvmou/status/659205228860805120■ Yasushi TauchiさんはTwitterを使っています: "今日はホテルオークラを語ったスパムメールかな。本文がない時点で、おかしい。 タイトル 【請求書】One Harmonyシステム利用料の送付 本文 なし(署名のみ) 添付ファイル zipファイル"
https://twitter.com/GoToYT/status/659161984735121408
■ くろぱぐライダーちょびさんはTwitterを使っています: "「One Harmonyシステム」なんて頭の悪い名前を付けるから速攻spam認定されるのであって、実在のクラウドサービス、○WSとかg○○gleとか、○zureとかの名前を出して、超過サービス料金請求書って書けば、結構大漁なんじゃ?"
https://twitter.com/chobichan/status/659209290184417285
■ マリンのぽんたろうさんはTwitterを使っています: "今日はホテルオークラのOne Harmony事務局というところを騙ってのウイルスメール到着→削除。最近多いですね。 ホテルオークラのHPに注意喚起が掲示されています。 皆さんもお気をつけて。"
https://twitter.com/marine_pontaroh/status/659240226292760576
ホテルの利用料金の請求書という名目の添付ファイルはZIP形式の圧縮ファイルということで、解凍するとWindows向け実行ファイル(拡張子 *.exe)が登場!
15030000138-0299.zip
↓ 解凍
15030000138-0299.pdf.exe
MD5 f409a755b029c9d0b63da3d1bdd3152d
www.virustotal.com/ja/file/0aa7a754acee45bfa539fde89ce1eb9cedebbe3ebc3ef69cbcff1ec695b1af52/analysis/1445991327/
www.virustotal.com/ja/file/0aa7a754acee45bfa539fde89ce1eb9cedebbe3ebc3ef69cbcff1ec695b1af52/analysis/1445991327/
ユーザーをうまくダマすため、二重拡張子やアイコン画像の偽装のトリックでPDF文書と誤認させて、ダブルクリックでウイルス感染してもらうのを狙ってます。 <今まで英語表記のウイルスメールで見られる鉄板手口!
Windowsの設定で拡張子の表示が無効のままだと気づけない恐れ…
ちなみに、攻撃ターゲットはWindowsパソコンだけで、Mac OS Xやスマホ(Android、iPhone)やガラケーらへんは当然起動しようがないから影響なく大丈夫!
関連メモ
★ ウイルス検出名
avast! Win32:Trojan-gen
AVG Generic36.CIQI
Avira TR/Crypt.Xpack.308242
BitDefender Gen:Variant.Midie.3208
ESET Win32/Injector.CLHU
K7 AntiVirus Trojan ( 004d54de1 )
Kaspersky Trojan-Dropper.Win32.Injector.noue
McAfee PWSZbot-FAOK!F409A755B029
Microsoft Trojan:Win32/Zlader.A
Sophos Troj/Agent-APBA
Symantec Infostealer.Limitail
Trend Micro WORM_ZLADER.A
AVG Generic36.CIQI
Avira TR/Crypt.Xpack.308242
BitDefender Gen:Variant.Midie.3208
ESET Win32/Injector.CLHU
K7 AntiVirus Trojan ( 004d54de1 )
Kaspersky Trojan-Dropper.Win32.Injector.noue
McAfee PWSZbot-FAOK!F409A755B029
Microsoft Trojan:Win32/Zlader.A
Sophos Troj/Agent-APBA
Symantec Infostealer.Limitail
Trend Micro WORM_ZLADER.A
★ マルウェアの C&Cサーバー の別フォルダには…!?
Ponyの管理パネル向けログインページ
akexadyzyt[.]com exotelyxal[.]com ekozylazal[.]com