賃貸管理部解約駐車場番/請求書払い迷惑メールでウイルス感染 docx/doc/jsファイルが危険
賃貸物件&駐車場の解約通知、請求書、意味不明な ”クリエイツ顔写真” といった名目で添付ファイルを確認するよう日本語で誘惑する危険な 迷惑メール(スパムメール) が不特定多数に送信されてます。 

【賃貸管理部】【解約】・駐車場番
お疲れ様です。
表題物件(オーナー)が解約となります。
解約日:01/06
現家賃:73,000円
提案家賃:73,000円
駐車場5番
現賃料:5,000円
提案賃料:5,000円
オーナー様へはこちらからご連絡させて頂きます。
何卒、よろしくお願い致します。
請求書払い:[数字] / 請求書「invoice」-[数字] / 「請求書」 ([数字])
本社管理部
お疲れ様です。
添付ファイルのご確認、宜しくお願いいたします。
*****
東日本営業部
ファックス:03-5781-[数字]
携帯:090-5210-[数字]
E-MAIL:info@[ドメイン名の一部].co.jp
*****
保安検査 / 文書 / 件名なし
いつも大変お世話になっております。
添付ファイルをご確認ください。
クリエイツ顔写真
お世話になります。
電話の件の写真です。
だめであれば、撮り直しますのでおっしゃってください。
よろしくお願いします。
『怪しいメールを開くな』『不審なファイルを開くな』 と巷では言われるけど、残念ながら現実は厳しくて「怪しい」と見抜けないユーザーさんが必ず一定数出現し、添付ファイルへ手を伸ばします。 



添付ファイルはスクリプトファイルやワード文書
《1》 zip形式の圧縮アーカイブ → 展開するとスクリプトファイル.js

「img-3009910029933.jpeg.js」
《2》 ワード文書.docx/.doc → 開くと埋め込まれたスクリプトファイル.js

「重要.doc」
「[数字].docx」
このワード文書を開くと、日本語でダマしの誘導メッセージ 『プレビュー文書をダブルクリックしてください』 と表示され、埋め込まれた不正なファイルを開くよう仕向けます。
<人間の心を操る巧妙な戦法


.jsファイルを開こうとすると警告ダイアログ
このような ファイル形式 が投入されるのは、セキュリティ製品が必ずしも脅威と判定せずにスリ抜ける効果が期待できるからです。 

ネットバンキング不正送金ウイルスに感染

wscript.exe を介して Ursnif ウイルスに感染した瞬間
外部ネットワークからネットバンキング不正送金ウイルス Ursnif(読み方 アースニフ) がシレッと送り込まれてきて感染しました。 



【Ursnifウイルス】
■ MD5ハッシュ値 25e201357b57ddbb6c7371eab76ce298
www.virustotal.com/ja/file/8329e4767d42ea4b7ec05da2aad88761249c28c88a01199c89d701978bb7d367/analysis/1494879393/
■ MD5ハッシュ値 141029557080dff6527898437cde1949
www.virustotal.com/ja/file/a87e2b56d9ee5c6bacf2b32b4afb727b1a9d02f17716381e6e9f679b5e8635e6/analysis/1494918096/
Q. 影響する環境は? スマホは大丈夫?
.jsファイルの動作環境はWindows XP/Vista/7/8/10パソコンです。 

つまり、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんはメールの受信はあっても攻撃対象ではなく大丈夫♪ 

Q. 感染するのはランサムウェア?
日本をターゲットに数年前から継続的に行われてるネットバンキングの預金を盗む目的のウイルスメールキャンペーンになります。 

コメント