写真偽装! 迷惑メール添付ファイルPhoto/Photos.zipでウイルス感染攻撃
 
イメージ 4
 
ドコの誰とも知らん外国人の差出人で 写真 を送信してきたかのよう装った 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 Photo
件名 Photos
本文 (なし)
メールには ZIP形式の圧縮アーカイブ が添付されていて、確認する指示も別にないけど中身を見るよう暗に誘導するトラップです。 <気になって気になって仕方がない

圧縮アーカイブの中身は?

ZIPファイルを解凍・展開した場合の中身のスクリーンショット画像がコチラ!
 
イメージ 1
 
イメージ 2
 
【写真メールを装った添付ファイル】
Photos.zip
Photo.zip
Image.zip
 ↓ ユーザーが解凍・展開する
IMG[数字].js
CAN[数字].js
 
ファイルの種類は一般的な写真に使われる JPEG画像ファイル(拡張子 .jpg) ではなく JScript Script ファイル(拡張子 .js / .jse) となってます。
 
ココから不自然でおかしいことに気づかないといけないけど、ファイルの種類に注意を払うウイルス対策を知らないWindowsユーザー さんは ”怪しい” と見抜けず勢いよく踏み抜くワケです。 <写真と思い込んでるので
 
加えて、セキュリティ製品でこの不正なファイルをスキャンしても ウイルス定義データに反映される前は脅威判定せず華麗にスリ抜ける ので注意が必要です。

ダブルクリックするとランサムウェア感染

この.jsファイルを仮にもWindowsパソコン上で ダブルクリック してしまうと?
 
手元で実際に踏んでみたところ、外部ネットワークから マルウェア をダウンロードしてきてシレッと起動する処理を確認できました。
 
イメージ 3
wscript.exe の下層にナゾの実行ファイルが起動し…
 
この実行ファイルの正体はWindowsパソコン上でファイルを破壊して 復元に身代金を支払うよう脅迫する Locky ウイルス です。
 
 
ちなみに、攻撃対象はあくまでWindowsパソコンだけで、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー、テレビ といった環境は動かないファイル形式だから安全です。  
 
 
[2016年10月 追記...]
 
Skype 上で 知り合いのアカウント(不正アクセス喰らってる? Windowsパソコンがウイルス感染?)からZIP形式の圧縮ファイルが突然送信されてくる手口も確認されてるみたい。
■ Auraさんのツイート: "Yet another Photo.zip (contains a .js) sent from a compromised Skype account."
https://twitter.com/aurathewhitehat/status/774350903017086981
送信ファイルはこんな感じ。
 
Photo.zip
 ↓ ユーザーが解凍・展開する
Photo - Copy [英数字].jse
 
Skype コミュニティでは自分のコンタクトリスト全員にZIPファイルを勝手に送信してしまい助けを求める投稿が…。
知り合いから事前連絡なく、実行ファイル(拡張子 .exe)、スクリーンセーバー(拡張子 .scr)、JScript Script ファイル(拡張子 .js / .jse)Windows Script ファイル(拡張子 .wsf) らへんを送りつける状況は100%あり得ないはず。
関連するブログ記事
タグ :
#Windows