ワードファイルdoc/docx迷惑メールでウイルス感染? 開いたスクリプトjs/jseが危険!
日本語の文章が不自然なので怪しい…?
一方、気になって無視できず右往左往するユーザーさんも出現してる日本語表記の 迷惑メール(スパムメール) が無差別にバラ撒かれてます。 



■ ヤフーメールに怪しいメールが来ました。「添付書類に支払いの請求書がある」と書いてありますがもちろん開いてません。ただ私の漢字フルネームと、自宅の電話番号が件名や本文に入っていて、明らかにどこかから情報が漏れているようです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14171785509
■ 今朝、怪しいメールが届きました。時間は早朝4時半で森和夫という名前で送られてきました。請求説明があるというドキュメントファイルが添付されていましたが、その人も知らないしメールの日本語が変で時間的にも怪しいと思って削除してしまったのですが…何故か私の名前と携帯番号も載ってました。なので少し怖くなってしまってます。よく大手でない通販を利用したりするので、もしかしたら情報が漏れたのかなと思っているのですが不安です。アドレスの後が@sze-yating.comです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13171816923■ 「フルネーム@sze-yating.com」と言うアドレスで送り先が「アカウント個人名」でメールが来ました、このようなメールは初めてですし添付ファイルがついています。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14171816089■ 本日、聞いたことの無い名前でメールが送信されて来ました。そのメールには、私のフルネームと正確な固定電話番号が記載されており、金銭を請求しているようです。
http://okwave.jp/qa/q9305850.html
迷惑メールには、自分自身の本物の 氏名 と 電話番号 が反映されてるとか。 

恐らく、どこかしら日本の正規ウェブサービスに不正アクセスして盗みとられた個人情報のデータを、迷惑メールの送信先として悪用してるみたい? 



請求書? ワードファイルの感染手口
メールの添付ファイルは?
もっともらしい 「請求書」 という名目で、Microsoft Office の文書形式 ワードファイル(拡張子 .doc) でした。
手元では迷惑メールを受け取ってないので、海外のマルウェア解析サイト Payload Security から入手した不正なファイルがコチラ♪ 

document[数字].doc
MD5 76755ee0e56c6b0476677ae698374513
www.virustotal.com/en/file/d39c9599e0d055e2dfa8d22c7e52796a7a9fbedf1051d9c5ea9b99a2929aaa7f/analysis/1489543124/
→ ショートカットファイルが埋め込まれてる
Document.docx (2).lnk
MD5 e49fc728e1a9e591e495b4f74c0f152d
(bitsadmin.exe を介して Ursnif ウイルスをダウンロード)
document[数字].doc
MD5 cbdb2663fd5d8a54636a2887030b3a18
www.virustotal.com/en/file/c7b0a69db8b0013a0032e7ba335da31d3413fd17175a9bbf9f4b30d099d24ac2/analysis/1489638993/
→ JScript Encoded Script ファイルが埋め込まれてる
document9809.jse
MD5 29b995848de600c604edd93796a7ed07
(powershell.exe を介して Ursnif ウイルスをダウンロード)
セキュリティソフトのウイルス定義データでの検出対応は、明らかに後手に回っており厳しいです。 

このワードファイルの特徴は?
- キリル文字 の環境で作成されたファイル
→ 攻撃者はロシアやウクライナあたり?
- ワードファイルに VBA マクロの処理は含まれてない
→ マクロウイルス の脅威ではない
- .doc ファイル内に不正なファイルを埋め込むスタイル
→ Microsoft Office の脆弱性を悪用する処理は含まれてない
通常でもやり取りされうるワード文書を送りつける…。
迷惑メールフィルタによって人間に読まれる前にメールが弾かれるのを、何なり回避させようとしてますかい。
■ iPhone は感染? スマホはウイルス大丈夫?
ちなみに、この不正なワードファイルの動作環境は Windows XP/Vista/7/8/10 パソコンに限定されます。
それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんでは動作しないファイル形式なので大丈夫です。 
<安心


ワードファイルを開いたらどうなる?
具体的にどんな手順を踏むとウイルス感染となる?
ウイルス感染攻撃の手口を知るため、ワードファイルを Microsoft Word で開いてみると、次のような表示を確認できました。 


変な日本語 ”コトバの壁” のお陰で怪しいけど
あなたが領収書を見たい場合は、文書をダブルクリックしてください。
■ ← Wordのアイコン画像
債権者の識別番号 56300******* トランザクション オーバードラフト支払利息
金額は 日付、03.14.2017
私たちのすべての必要な情報を提供してください。
この手紙が公開されていて、それが裏書を持っていません。
あなたのアカウントを計算する方法。
注:「先月のための請求書発行」。
この場合、ワードファイルを開いただけでは、別に何も起こりません。
ここから攻撃を実際に喰らうには、文書上の指示にもあるよう 画像領域をポチポチッとダブルクリックする 必要があります。
さらに、ダブルクリックした直後には Windows のセキュリティ警告ウィンドウがキッチリ表示されて、ユーザーの意思で [開く(O)] ボタンを押さないといけません。
<警告の無視が必須


セキュリティの警告ダイアログで開くか確認
こんな形で請求書、領収書を提供するなぞ、100%あり得えないお話です。
日本語メッセージの精度を高めて、もう少し説得力を持たせることができれば、心を操られて律儀に従ってしまい、自爆するユーザーさんは出現するかもしれず、危なっかしい~。 






■ ネットバンキングウイルスに感染
試しに、この スクリプトファイル(拡張子 .jse) を開くとどうなる?
裏側で Windows PowerShell(powershell.exe) を介して外部ネットワークに接続を試み、ナゾの実行ファイル(拡張子 .exe) をダウンロードしてきてシレッと起動することが確認できました。
実際にウイルス感染した瞬間の Windows のプロセスの様子がコチラ♪

powershell.exe の下層に実行ファイル(緑)が
ネットバンキング不正送金ウイルスに感染した瞬間
この実行ファイルの正体は?
<追記...>
添付されてるワードファイルの拡張子が .doc ではなく .docx の迷惑メール(スパムメール)も投入されてます。 

迷惑メールフィルタのスリ抜けさせる意図や、Windows ユーザーさんの警戒心を緩ませる策略でしょう。

画像領域をダブルクリックするよう仕向ける
【スクリプトファイルを開かせる誘導メッセージ例】
2回クリックするとコンテンツがロック解除されます
クリックして私的な内容を表示してください
ダブルクリックしてコンテンツを見る
ダブルクリックしてコンテンツを表示する
ダブルクリックすると情報が表示されます
ドキュメントを2回クリックする
ドキュメントをダブルクリック
ドキュメントをダブルクリックする
プレビュー文書をダブルクリックしてください
プレビュー用にダブルクリックしてください
レビュー内容を2回クリックする
http://fireflyframer.blog.jp/19064355.html
Microsoft Word で開くと、埋め込まれてる不正な スクリプトファイル(拡張子 .js) を開かせる必要があり、画像領域のところをダブルクリックするよう日本語の誘導メッセージが表示されます。 



感染を防ぐ無料ウイルス対策3つ
Windows ユーザーさんが ”怪しい” と見抜けずに、不正なワードファイルやスクリプトファイルをホイホイッと開いたらヤバい!
そこで、この手のウイルス感染攻撃を100%確実に失敗へと導く3つの方法を紹介します。 
<ヒューマンエラー上等!


【1】 スクリプトファイルの無害化
【2】 マクロウイルス対策
(※ このブログ記事で紹介したウイルス感染攻撃とは別の手口だけど、ウイルスメールで採用される機会が多いマクロウイルス)
【3】 ファイアウォールの活用
後手に回ることもあるセキュリティソフトにすべてを託さないことで、攻撃を何なりと阻止する無料ウイルス対策、これ超最強! 



コメント