icloud.com迷惑メール 添付ファイルZIPからウイルス! ランサムウェア感染被害に注意
 
本文は何も記載されておらず、差出人のメールアドレスが <*@icloud.com> になってる英語表記の 迷惑メール(スパムメール) が無差別に結構ドバドバ~配信されてます。
 
イメージ 1
添付ファイル付き迷惑メール
[数字]docx / [数字]pdf / [数字]jpg / [数字]png / [数字]gif / [数字]tiff / [数字].docx / [数字].tiff / [数字].pdf / [数字].png
差出人 <[外国人の名前]_[数字]@icloud.com>
いちおう icloud.com からの送信になってるけど、実際には差出人が偽装されてるだけでまったく当てになりません。
 
メールのヘッダーを確認すると、海外発でてんでバラバラのはずです。 <手元ではインドとか、上のメールはアフリカの セネガル から
 
何か 文書画像 でも送ってきたかのよう装って添付ファイルの確認を誘導するという 必ず一定のユーザがダマされる有効な攻撃手口 だったりします。

ZIP圧縮の中身は拡張子.wsf?

で、添付されてるのはZIP形式の圧縮アーカイブなので、手動で解凍・展開してみると中身がこんな感じになってました。
 
イメージ 2
ZIPアーカイブの中身は「Windows Script ファイル」
 
【メールの添付ファイル】
[数字].zip
 ↓ ユーザーが手動で解凍・展開する 
[ランダムな英文字].wsf
 
拡張子 の知識があるユーザーさんなら、拡張子「.wsf」 が文書や画像でないことは一目瞭然だけど、この 拡張子.wsfファイル を不正なものと見抜けず Windowsパソコン上 でポチポチっとダブルクリックして開いてしまうと?
 
怪しい実行ファイルをダブルクリックするのとまったく同じで、攻撃処理が発動して一貫の終わりです。

ファイルを暗号化するランサムウェア感染

こんなことはゼッタイに真似してはいけないけど、実際に手元で(故意に)踏んでみて攻撃を喰らってみました。
 
 イメージ 4
海外サーバーに接続し何かデータを裏でダウンロード
 
イメージ 3
スクリプト処理 wscript.exe 下に rundll32.exe がシレッと起動
 
【VirussTotalファイルスキャン結果】
> www.virustotal.com/en/file/852c79d430e401f6b57946718ca6555c328dd503b13b9cda22e481903ebe8575/analysis/1472810098/
 
結果として、Windowsパソコン内の文書・画像ファイルをすべて破壊し開くなくなる Lockyランサムウェア の侵入を許して感染してしまうのでしたー。
 
 
ちなみに、一連の攻撃は Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー、ゲーム機、テレビ らへんは動作対応環境ではないため大丈夫です♪
 
関連するブログ記事