郵便局-日本郵政 拝啓配達員が注文番号? 迷惑メールはウイルス付き危険でネットバンキング不正送金
去年2015年12月から断続的に観測されてる 危険な脅威 になるけど、実在する配送会社を名乗って成りすまし、荷物の配達通知(不達)っぽく装った日本語表記の怪しい不審な 迷惑メール(スパムメール) の紹介です。
■ 荷物配達通知偽装メールはウイルス! 配達員が注文番号? 委託運送状? 日本郵政EMS DHL 2015年12月11日
きのう2月15日らへんに、ロシアドメインの送信者として「郵便局 - 日本郵政」「日本郵政ジャパン」を名乗った偽メールが不特定多数にドバドバッと再びバラ撒かれた模様です。
件名 (なし)
送信者 郵便局 - 日本郵政 <~@rambler.ru>
{拝啓
{からのお知らせ日本郵便株式会社
配達員が注文番号[数字]の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの郵便局 - 日本郵政取り扱い郵便局までお問い合わせください。
敬具
郵便局 - 日本郵政:
〒[数字]-[数字]
東京都港区芝浦4-13-23
メール本文に登場する [数字] の部分はメールごとにランダム生成なので、郵便番号はまず実在しないデタラメ数値になってるはず。
■ 日本郵政を騙った不審メールが急増していますのでご注意ください - 日本郵政
http://www.japanpost.jp/information/2016/20160216115665.html
http://www.japanpost.jp/information/2016/20160216115665.html
添付ファイルはWindowsパソコンを狙うウイルス
メールには ZIP形式の圧縮ファイル が添付されてます。
さっそく手動で解凍してみると、Windows向け スクリーンセーバー(ファイルの拡張子 *.scr) の登場です。 <ウイルスキタ━━━━(゚0゚)━━━━!!
ファイルの種類(拡張子)に注目! 決してダブルクリックして開いたらダメ!
【添付ファイル】
郵便局 _お問い合わせ番号_[数字]から100通JP.zip
お知らせ番号_郵便局 - 日本郵政_お問い合わせ番号_[数字]100通.zip
↓ 解凍
郵便局 - 日本郵政_お問い合わせ番号_[数字]から100通_FDP.SCR
郵便局 - 日本郵政_お問い合わせ番号_[数字]から100通FDP.SCR
ものスゴく古典的な手口だけど、”委託運送状” なるブツを印刷したいがため、Windowsパソコン上でこのスクリーンセーバーファイルを起動してしまえば ウイルス感染アウトーーーッ!
ちなみに、Mac OS、Android/iPhoneスマホ、ガラケー らへんは起動しようがないので影響対象範囲外です。
なお、ポチポチッと起動した直後の症状として ダミーのイメージ画像 が表示され、まるで郵便局や日本郵政の通知を開いたとユーザーに思い込ませるダマしの演出まで用意されてます。
ユーザーを欺いてウイルス感染に気づかせないよう装う伝票画像
この裏では、ネットバンキング不正送金ウイルス Rovnix(ロブニクス) の実行ファイルが外部ネットワークからひっそりとダウンロードされ起動するようになってます。
最終的に、感染マシン上でユーザーが正規ネットバンキングを利用するタイミングで情報が盗み取られ、大事な預金が赤の他人の口座へと不正送金されてしまう深刻な被害へと巻き込まれる?
■ Rovnixウイルス感染で偽画面が表示されネットバンキング不正送金被害が発生!
https://blogs.yahoo.co.jp/fireflyframer/33907510.html
https://blogs.yahoo.co.jp/fireflyframer/33907510.html
[2月20日 追記...]
セキュリティ会社の注意喚起情報も出てます。
■ 狙いは国内ネットバンキング、日本郵政を騙るマルウェアスパムが拡散 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12884
http://blog.trendmicro.co.jp/archives/12884
■ 特定の地域を狙う悪質なスパム活動、日本も標的に | Symantec
http://www.symantec.com/connect/node/3570661
http://www.symantec.com/connect/node/3570661
郵便局-日本郵政や日本郵政ジャパンではなく、通販サイトの 楽天市場 に成りすましたかったと思われる「Racuten」(ラキュテン!?)名義の偽メールもバラ撒かれているそう。
■ 存在しない委託運送状を送りつける例 Racuten Japan 【楽天市場】ヘルプ
http://ichiba.faq.rakuten.co.jp/app/answers/popup/a_id/22669
http://ichiba.faq.rakuten.co.jp/app/answers/popup/a_id/22669
ウイルスメールに対応・対処できる知識を!
去年2015年に 日本年金機構のシステムが不正アクセスされ個人情報が大量に漏洩する事件 が発覚しメディアを騒がしたことは記憶に新しいけど、その手口は同じで
『もっともらしい日本語メールの添付ファイルを開いた』
ことが最初のキッカケでした。
- 実在する会社や機関を名乗って正規のメールと思い込ませて必ずしも無視できない状況を演出する (メールの送信元は運良く偽装されておらずロシアドメイン.ru)
- 明らかにメチャクチャな文法ではない ある程度まともな日本語メッセージで添付ファイルを開くよう誘導して心理的な隙を突いてる
言うまでもないけど、メールの添付ファイルには注意を払う必要があり、特にファイルの種類(拡張子)が何なのかユーザー自ら確認することはウイルス対策の基本です。
今回はなぜか スクリーンセーバー がメールで送られてくるという時点で 100%真っ黒 と判断できないユーザーさんだけ ”開く” という誤った行動をとってしまうワケです。
ウイルスのハッシュ値の一例
手元で確認してるウイルス検体のハッシュ値の一部と、オンラインスキャンサイト VirusTotal の結果です。
MD5 1ff4f4d4bff47b30d585dcb44fd0a479
www.virustotal.com/ja/file/103453eb4b96e90db1eb53d1924732786d698d87b2651d1ff41c31f64a117021/analysis/1455486906/
MD5 e03e3b385e194963b523cfa5f0b32fac
www.virustotal.com/ja/file/b3c4a170fdfb468518850fd8e2a11e29a928ea90db97f3ec05664fb93e4b316c/analysis/1455575268/
MD5 61f6d9e6d6d6d92d33a6a350cb5878ca
www.virustotal.com/ja/file/450ad818eb0b0f0938333d7e50e24819fb5e5d249370630b6c303a54fa1d4d30/analysis/1456013838/
MD5 8d4dad13e973f41862e821f0f9b5aa43
www.virustotal.com/ja/file/bf721128e94db3e097212951c2f499433b41d15d807bdc21a5f978171bfe9f7d/analysis/1456108293/
↓ ダウンロード
1957809d3d29248ea7a759086a496597 Win32/Rovnix
8c4318a33932fe063c4e2ecec5a2968d
44eb7dafd0c0ccb591ecc0708f39fb86