マイクロソフトUnusual sign-in activityメールでウイルス感染 偽Chromeファイルjs/exeが危険

イメージ 5
Image いらすとや

Microsoft のアカウントで 「Unusual sign-in activity」(=不審なサインインの挙動) を検出した、という不正アクセス通知っぽく装った英語表記の 迷惑メール(スパムメール) が着弾しました。

イメージ 1
Microsoft account Unusual sign-in activity
IPアドレスの数値が255に収まらず異次元の世界w

Microsoft account
Unusual sign-in activity
We detected something unusual about a recent sign-in to the Microsoft account
[メールアドレス]
Sign-in details:
Country/region: [Romaniaなど国名]
IP address: [数字].[数字].[数字].[数字]
Date: [日付] [時刻] -0000
If this was you, then you can safely ignore this email.
If you're not sure this was you, a malicious user might have your password. Please review your recent activity and we'll help you take corrective action.
[Please check out document for further instructions.]
Thanks,
The Microsoft account team

英語の意味は 『これがあなたのアクセスならメールは無視してOK。あなたのアクセスでないなら悪意のあるユーザーがパスワードを保有してる恐れがあり、最近のアクティビティを確認してください』 ということで驚かせ、本文中のリンク 「Please check out document for further instructions.」 をポチッと踏ませようとします。 <ひぇ~

英語とはいえ、焦らせて冷静に物事を判断できなくして攻撃者の意のまま心を操られてしまうユーザーさんが出かねない巧妙なメールです。

すぐに解決する対処方法

この手のマイクロソフトのメールが本物か偽物か?、で思考停止状態に陥り悩んでしまうユーザーさんいますかい?

フィッシングメールの対処方法 は、ひとまず メールを無視してマイクロソフトの公式サイト account.microsoft.com へ直接アクセスする ことですぐ解決です。

Chromeアップデートのダウンロード!?

故意に誘導先へ突撃してみると、Google Chrome ブラウザの公式サイトっぽく外観デザインが完璧にソックリ偽装されてる英語表記の不正なページでした。 <URLは google.co.jpgoogle.com ではなし

【1】 スクリプトファイル配布 chrome_update.js

イメージ 2
「chrome_update.js」のダウンロード

メール本文のリンク
 ↓ ユーザーがクリック
http://[ドメイン名]/site/chrome_update_js.html
 ↓ 自動的にダウンロード
http://[ドメイン名]/site/download_js.php (chrome_update.js

【2】 実行ファイル配布 chrome_update.exe

イメージ 3
「chrome_update.exe」 のダウンロード

メール本文のリンク
 ↓ ユーザーがクリック
http://[ドメイン名]/site/chrome_update.html
 ↓ 自動的にダウンロード
http://[ドメイン名]/site/download.php (chrome_update.exe

【3】 圧縮アーカイブ配布 chrome_update.zip

zip形式の圧縮アーカイブを展開・解凍すると中身は 実行ファイル .exeスクリプトファイル .js になってます。

メール本文のリンク
 ↓ ユーザーがクリック
http://[ドメイン名]/site/chrome_update_zip.html
 ↓ 自動的にダウンロード
http://[ドメイン名]/site/download_zip.php (chrome_update.zip
 ↓ ユーザーが圧縮アーカイブを展開・解凍
update
.exe
[数字].js

巷で目にする 『怪しいファイルを開くな!』 というウイルス対策に攻撃者は対抗し、”怪しい” はずがない Google に成りすまし Chromeアップデート と称してダウンロードさせることで攻撃成功率を上げる戦法です。

身代金ウイルス Cerber に感染

不正な スクリプトファイル拡張子 .js) や、Windows向け実行ファイル拡張子 .exe) の正体は記事投稿時点だと次のような感じになってます。

イメージ 4
.jsファイル と .exeファイル の実物画像

chrome_update.js / [数字].js
スクリプトの処理を担当する wscript.exe を介して外部ネットワークから
Cerberランサムウェア をダウンロードしてきて、Windows タスクスケジューラにそれを数分後に起動するためのタスクを登録する

chrome_update.exe / update.exe
Cerberランサムウェア そのもの

見抜けないWindowsユーザーさんは更新ファイルと思い込んでるので躊躇なく踏み抜く展開です。

なお、Windowsパソコンだけが感染ターゲットになり、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんは動作対象外の形式で大丈夫です♪
関連するブログ記事

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。