駐禁報告書? 全景写真添付? 迷惑メールはウイルス doc/jsファイル開いたら感染

イメージ 4
Image いらすとや

駐車禁止の報告書や写真を名目に添付ファイルを確認するよう誘惑する日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数に配信されてます。

駐禁報告書
運行・車両管理部
ご担当者様
お疲れ様です。
駐車違反の報告書を添付してます。
ご確認の程、宜しくお願い致します。

全景写真添付
写真(2枚)です。

添付ファイルはスクリプトファイル&ワード文書

添付ファイルの形式は Windows向け実行ファイル拡張子 .exe) ではない2パターンが投入されてます。 <セキュリティ製品やスパムフィルタのスリ抜けを狙ってる

イメージ 1
メールの添付ファイル
  1. zip形式の圧縮アーカイブ
    → 展開するとスクリプトファイル「image-32107-221.jpg.js

  2. ワード文書 「15.5.17.00355.doc
    → 開くと埋め込まれたスクリプトファイル.js
ワード文書の方を開くと、日本語で 『プレビュー文書をダブルクリックしてください』 と指示を出して、埋め込まれてるスクリプトファイルを開くようユーザーを誘導します。

イメージ 2

いずれも不正な スクリプトファイル(拡張子 .js) を開くと、ネットバンキング不正送金ウイルスで知られる Ursnif(読み方 アースニフ) が外部ネットワークからダウンロードされてきてシレッと起動し感染です。

イメージ 3
wscript.exe を介して Ursnif ウイルスに感染

b18cd25486283363a784f373481af37f
www.virustotal.com/ja/file/6e0faa19a674d0789c06361f0b61d74a5eacca459bb7902cd4241823bd2e67df/analysis/1494966703/

0ea5eb07bf5fe4484e9300bf63344a14

www.virustotal.com/ja/file/8da8134d61e8134a14b1b9c2d892cc1916b7ac3796fd86fba7b6780161ecf10f/analysis/1495002417/

Q. 影響する環境は? スマホは大丈夫?

.jsファイルの動作環境はWindows XP/Vista/7/8/10パソコンだけです。

つまり、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールの受信はあっても攻撃対象ではなく大丈夫です。

Q. 感染するのはランサムウェア?

2017年5月12~13日に発生したサイバー攻撃 とは関係なく、ファイルを暗号化して身代金の支払いを要求する ランサムウェアの感染 ではありません。

日本をターゲットに数年前から継続的に行われてるネットバンキングの預金を盗む目的のウイルスメールキャンペーンになります。
関連するブログ記事