Intuit QuickBooks迷惑メール 偽Flash更新ファイル配布サイト誘導
 
実在する米国のソフトウェア開発会社 Intuit(インテュイット) を勝手に名乗って成りすました英語表記の迷惑メール(スパムメール)が数日前にバラ撒かれたみたいで。。。
 
“INTUIT Security Warning” Emails Lead to Fake Browser Update Malware | Malwarebytes
https://blog.malwarebytes.org/security-threat/2015/12/intuit-security-warning-emails-lead-to-fake-browser-update-malware/
 
Fake message “INTUIT Security Warning” regarding browser update will download trojan | mxlab
http://blog.mxlab.eu/2015/11/30/fake-message-intuit-security-warning-regarding-browser-update-will-download-trojan/
 
日本でもメールを受信したユーザーさんのお話が…。
■ ChoitoMacさんはTwitterを使っています: "「INTUIT Supported Browsers Update」っていう表題のメールが届いてた。中身は「QuickBook」とかいうブラウザの最新版が出たという告知のようなものだが、明らかにスパムメール。手の込んだ事しやがって"
https://twitter.com/ChoitoMac/status/671402483403513856
 
■ カマコさんさんはTwitterを使っています: "Intuit QB(QuickBooks)というところから英文のメールが来た。怪しいと思って調べたらアメリカの会計ソフトウェアを作っている会社を騙るフィッシングみたいで、リンクを踏んだらえらい目に遭うっぽい。こういうスパムや詐欺メールを作ってばらまくやつ全員ウンコ!!"
https://twitter.com/kamacosan/status/671301160037441536
メールの内容はセキュリティアップデートが必要というお話で、本文中の「proceed the following link」リンクをクリックして踏むよう誘導します。 <添付ファイルはなし!
 
イメージ 1 
 
件名 INTUIT QickBooks Security Warning
件名 INTUIT Supported Browsers Update
件名 INTUIT QuickBooks Online: Browser Update
件名 INTUIT Security Warning
件名 INTUIT QB Security Warning
件名 INTUIT Important Notification
件名 Intuit QuickBooks Online: Supported Browsers Update
件名 INTUIT QB: attention
件名 INTUIT Browser Update
件名 INTUIT QuickBooks

 
InTuIT QuIckBooks.
 
As of November 5th, 2015, we will be updating the browsers we support. We encourage you to upgrade to the latest version for the best online experience. Please proceed the following link, download and install the security update for all supported browsers to be on top with INTUIT online security!

InTuIT.  | simplify the business of life
 
誘導先でZIP形式の圧縮ファイルがダウンロードされるので、手動で解凍すると中身は実行ファイル(拡張子 *.exe)でありダブルクリックして起動したら感染アウト!
 
イメージ 2
Windows向け実行ファイル
FlashPlayerUpdate.zip
FirefoxUpdate.zip
 ↓ 解凍
FlashPlayerUpdate.exe
FirefoxUpdate.exe
Adobe Flash Player や Firefoxブラウザ のアップデート更新ファイルを装ってるけど、正規ファイルに付いてるデジタル署名(名義は Adobe Systems Incorporated、Mozilla Corporation)も何もついてない偽物です。
 
MD5 14954498c24505af5f6428d34fd36018
> www.virustotal.com/ja/file/47000a9b4267b6288702af516475f33d2c1af95f7d87cfe0abb119138f14305a/analysis/1448979450/