ホテルオークラ「One Harmonyシステム利用料の送付」迷惑メール PDF偽装ウイルス付き
 
日本のホテル運営会社として実在するホテルオークラに成りすまし、『【請求書】One Harmonyシステム利用料の送付』なる件名の添付ファイル付き迷惑メール(スパムメール)がバラ撒かれたそう。
 
■ もうさんはTwitterを使っています: "ホテルオークラから怪しいメールきたーーーー!!↓ One Harmony 事務局 【請求書】One Harmonyシステム利用料の送付 Yoshinori SARUTA/HOC sarutay@hotelokura[.]co.jp"
https://twitter.com/2cvmou/status/659205228860805120
 
■ Yasushi TauchiさんはTwitterを使っています: "今日はホテルオークラを語ったスパムメールかな。本文がない時点で、おかしい。 タイトル 【請求書】One Harmonyシステム利用料の送付 本文 なし(署名のみ) 添付ファイル zipファイル"
https://twitter.com/GoToYT/status/659161984735121408
 
■ くろぱぐライダーちょびさんはTwitterを使っています: "「One Harmonyシステム」なんて頭の悪い名前を付けるから速攻spam認定されるのであって、実在のクラウドサービス、○WSとかg○○gleとか、○zureとかの名前を出して、超過サービス料金請求書って書けば、結構大漁なんじゃ?"
https://twitter.com/chobichan/status/659209290184417285

■ マリンのぽんたろうさんはTwitterを使っています: "今日はホテルオークラのOne Harmony事務局というところを騙ってのウイルスメール到着→削除。最近多いですね。 ホテルオークラのHPに注意喚起が掲示されています。 皆さんもお気をつけて。"
https://twitter.com/marine_pontaroh/status/659240226292760576
 
ホテルの利用料金の請求書という名目の添付ファイルはZIP形式の圧縮ファイルということで、解凍するとWindows向け実行ファイル拡張子 *.exe)が登場!
 
イメージ 1
 
15030000138-0299.zip
 ↓ 解凍
15030000138-0299.pdf
.exe
 
MD5 f409a755b029c9d0b63da3d1bdd3152d
www.virustotal.com/ja/file/0aa7a754acee45bfa539fde89ce1eb9cedebbe3ebc3ef69cbcff1ec695b1af52/analysis/1445991327/
 
ユーザーをうまくダマすため、二重拡張子アイコン画像の偽装のトリックでPDF文書と誤認させて、ダブルクリックでウイルス感染してもらうのを狙ってます。 <今まで英語表記のウイルスメールで見られる鉄板手口!
 
イメージ 2
Windowsの設定で拡張子の表示が無効のままだと気づけない恐れ…
 
ちなみに、攻撃ターゲットはWindowsパソコンだけで、Mac OS Xやスマホ(Android、iPhone)やガラケーらへんは当然起動しようがないから影響なく大丈夫!

関連メモ

ウイルス検出名
 
 avast! Win32:Trojan-gen
 AVG Generic36.CIQI
Avira TR/Crypt.Xpack.308242
BitDefender Gen:Variant.Midie.3208
ESET Win32/Injector.CLHU
 K7 AntiVirus Trojan ( 004d54de1 ) 
Kaspersky Trojan-Dropper.Win32.Injector.noue
 McAfee  PWSZbot-FAOK!F409A755B029
 Microsoft Trojan:Win32/Zlader.A
Sophos Troj/Agent-APBA
 Symantec Infostealer.Limitail
Trend Micro WORM_ZLADER.A
 
マルウェアの C&Cサーバー の別フォルダには…!?
 
イメージ 3
Ponyの管理パネル向けログインページ
 
akexadyzyt[.]com exotelyxal[.]com ekozylazal[.]com
関連するブログ記事