<迷惑メール>マイクロソフトUnusual sign-in activityウイルス感染被害

イメージ 5

マイクロソフトのアカウントで 「Unusual sign-in activity 」(意味: 不審なサインインの挙動) を検出したぞ~、という不正アクセスの可能性を警告する通知を装った英語表記の 迷惑メール(スパムメール) を受信しました。

イメージ 1
Microsoft account Unusual sign-in activity

【マイクロソフト偽メール本文例】
Microsoft account
Unusual sign-in activity
We detected something unusual about a recent sign-in to the Microsoft account [メールアドレス]
Sign-in details:
Country/region: [Romania など国名]
IP address: [数字].
Date: [日付] [時刻] -0000
If this was you, then you can safely ignore this email.
If you're not sure this was you, a malicious user might have your password. Please review your recent activity and we'll help you take corrective action.
[Please check out document for further instructions.]
Thanks,
The Microsoft account team

英語の意味を日本語に翻訳すると

『これがあなたのアクセスならば、Eメールは無視して構わない。あなたのアクセスではないなら、悪意のあるユーザーがパスワードを保持している恐れがあり、最近のアクティビティを確認してください。』

…というビックリ仰天する内容で、通知を受け取ったユーザーさんを心理的に動揺させておいて、本文中の誘導リンク 「Please check out document for further instructions」 をポチッと踏ませる魂胆です。 <ひぇ~


フィッシング詐欺メールの対処方法

この手の怪しいEメールを受け取ると、疑り深いユーザーさんの中には、マイクロソフトからの本物のEメールか偽物のEメールかで判断に迷い、思考停止の状態に陥ってしまう?

ひとまず、フィッシング詐欺メールの対処方法 は、さっさとEメールを 無視 した上で、その次の行動としてマイクロソフトの公式サイト account.microsoft.com へ直接アクセスする対処方法が最強です。

https://account.microsoft.com/

見極める作業は、単に時間の無駄にしかなりません。

Chrome アップデートのダウンロード!? ウイルス注意

今回、マイクロソフトを騙る偽メールの誘導先へ、調査目的ということで故意に踏んで突撃してみました。

…すると、Google Chrome ブラウザの公式サイトのように見えて、完璧に外観デザインがソックリ偽装されている英語表記の不正な偽ページが表示されました。 <URL は google.co.jpgoogle.com ではない

さらに、3 つのパターンで、不審な謎のファイルがダウンロードされる仕掛けになっていました。


【1】 怪しいスクリプトファイルのダウンロード

イメージ 2
怪しい不正なファイル 「chrome_update.js」 ダウンロード

マイクロソフトを騙るEメール本文のリンク
 ↓ クリック
http://[ドメイン名]/site/chrome_update_js.html
 ↓ 自動ダウンロード
http://[ドメイン名]/site/download_js.php
 ↓
「chrome_update.js」 ファイルを入手した


【2】 怪しい実行ファイルのダウンロード

イメージ 3
怪しい実行ファイル 「chrome_update.exe」 ダウンロード

Eメール本文のリンク
 ↓ クリック
http://[ドメイン名]/site/chrome_update.html
 ↓ 自動ダウンロード
http://[ドメイン名]/site/download.php
 ↓
「chrome_update.exe」 ファイルを入手した


【3】 怪しい圧縮アーカイブのダウンロード

zip 形式の圧縮アーカイブが手に入り、このアーカイブを展開・解凍してみると、その中身は 実行ファイル (拡張子 .exe) または スクリプトファイル (拡張子 .js) になっていました。

マイクロソフト騙るEメール本文のリンク
 ↓ クリック
http://[ドメイン名]/site/chrome_update_zip.html
 ↓ 自動ダウンロード
http://[ドメイン名]/site/download_zip.php
 ↓
「chrome_update.zip」 ファイルを入手した
 ↓ 展開・解凍
中身は 「update.exe」 ファイル、あるいは 「[数字].js」 ファイル


「怪しいファイルを開くな」 に対抗する戦略

ウイルス対策やセキュリティ対策として、巷では 『怪しいファイルを開くな』 というフレーズを目にするけど、当然ながらサイバー犯罪者も認識しています。

そこで、攻撃者は Google inc. に成りすまして、フリーソフト 「Google Chrome のアップデート」 という名目で不正なファイルのウンロードを仕向けています。

少しでも 「怪しい」 と察知されずに攻撃成功率を引き上げる戦略と言えましょう。

身代金ウイルス Cerber ランサムウェアに感染!

ダウンロードした不正な スクリプトファイル (拡張子 .js)、実行ファイル (拡張子 .exe) の正体ははたして…?

イメージ 4
.jsファイル と .exeファイル の実物画像

記事投稿時点では次のような感じになってます。

【「chrome_update.js」 や 「[数字].js」 の症状】
ファイルをダブルクリックして起動すると…
スクリプトファイルの動作を担当する Windows プログラム 「wscript.exe」 を介して外部ネットワークに接続を試みて、Cerber ランサムウェア をダウンロードしてくる。さらに、Windows のタスクスケジューラに不正なタスクを登録する。タスクの内容は 「数分後にランサムウェアの実行ファイルを起動する」 という時限式の情報。
【「chrome_update.exe」 「update.exe」 の症状】
ファイルをダブルクリックして起動すると…
Cerberランサムウェア そのものの実行ファイルで即感染となる。

見抜けない Windows ユーザーさんは必ず一定数いて、Chrome の更新ファイルと思い込んで躊躇なく踏み抜く展開です。

なお、不正なファイルの影響環境は Windows XP/7/8/10 パソコンに限定されて、それ以外の macOS、Android スマホ、iOS (iPhone / iPad) 、ガラケーといった環境は、動作対象から外れる形式で影響なし♪

関連するブログ記事

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。

タグ :
パソコン