日本郵便追跡サービス迷惑メールはウイルス js拡張子ファイルが危険!
2017年7月20~21日にかけて 「日本郵便追跡サービス」「Japan Post 郵便局」 を名乗って、荷物の配達通知を装いマルウェアの感染を企む日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数に配信されました。
件名 日本郵便追跡サービス [数字] / RE:[EMS_[数字]]
送信者 <~@mail.com> / 日本郵便追跡サービス / Japan Post 郵便局
拝啓
配達員が注文番号( [数字] )の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの郵便局 ? 日本郵政取り扱い郵便局までお問い合わせください。
敬具
EMS(国際スピード郵便) ? 郵便局 ? 日本郵政
この不自然な文章は、2015~2016年の 「郵便局」「日本郵政」「日本郵便」「EMS」 を名乗るウイルスメール にほぼ同一の文面で何度も確認されていて使い回しされてます。 <海外のサイバー犯罪者の日本語能力の限界か…
なお、直前の7月19日には請求書を装う エクセルファイル(拡張子 .xls)が添付された日本語ウイルスメール も手元には着弾してます。
攻撃手口は添付ファイルや誘導リンク
攻撃手口はメールの 添付ファイル を確認するよう仕向ける以外に、添付ファイルはなく本文に記載された リンク を踏ませてファイルをダウンロードさせるパターンも確認してます。
《1》 メールの添付ファイル
圧縮アーカイブが添付されていて展開・解凍すると、中から不正な スクリプトファイル(拡張子 .js) が登場します。
【スクリプトファイルでウイルス感染】
.zip形式の圧縮アーカイブ
「日本郵便追跡サービス_[数字].zip」
↓ 展開・解凍
スクリプトファイル
「[文字化け]_[数字].js」または「日本郵便追跡サービス_[数字].js」
↓ ダブルクリックして開く
ネットバンキングウイルス Ursnif がダウンロードされてきて感染
他にも、スクリプトファイル(拡張子 .jse) が内部に埋め込まれてる不正な ワードファイル(拡張子 .docx) が添付されてるパターンも確認してます。
【スクリプトを埋め込んだワードファイルでウイルス感染】
添付されてるワードファイル
「日本郵便追跡サービス_[数字].docx」
↓ Microsoft Word で開く
文書上に埋め込まれたスクリプトファイル
「[英数字].jse」
↓ 画像領域をダブルクリックする (下記画像)
ファイルを開くか確認ダイアログが表示される
↓ [開く(O)]ボタンを押す
ネットバンキングウイルス Ursnif がダウンロードされてきて感染
文書上に埋め込まれたスクリプトを開くよう仕向けるシーン
《2》 メール本文中のリンク
メール本文のリンクからファイルをダウンロードするよう誘導します。
「請求書_7192017.pif」
「7192017.pif」
・ DOSファイル → 拡張子は 「.pif」 だけど Windows の仕様で必ず表示されない
この不正なファイルは正規のファイル共有サイト上にアップされていたり、ハッキング被害を喰らってる海外の一般サイトのサーバー上にアップされてました。
DROP.MEにアップされてるマルウェア
(ファイルのダウンロード数 190)
一般サイトにアップされてるマルウェア
ロシア語圏ユーザーを狙うファイルも置かれてる?
また、ハッキング被害を受けてる一般サイト上に圧縮アーカイブ 「label_trackservice.zip」 がアップされていて、メールのリンクからダウンロードさせる手口も確認してます。
この圧縮ファイルを展開・解凍してもると、中身は次のような スクリプトファイル(拡張子 .js) でした。
「日本郵便追跡サービス .js」
この.jsファイルを手元で故意に開いてみると、Windows の正規プログラム wscript.exe を介して外部ネットワークに接続を試み、ナゾの実行ファイルがシレッとダウンロードされてきて起動する症状を確認できました。
スクリプトファイルを開いてマルウェア感染の瞬間
Ursnifウイルスに感染
何だかんだ感染するマルウェアは、Windowsパソコンがターゲットでネットバンキング不正送金被害に繋がる Ursnif(読み方 アースニフ) になります。
○ メールの受信や本文のプレビューだけでウイルス感染することはない
○ 誘導リンクをクリックするだけでウイルス感染することはない
【Ursnifウイルス】
MD5 73853a2a7cf7e090d8151416251a224a
www.virustotal.com/ja/file/eea74cc0e7c074a2259eb8ddfff2b0974bafb25cf62dfde9217072583a78b73b/analysis/1500597777/
MD5 40ed37fa9d3ce22e90646a7674b340ce
www.virustotal.com/ja/file/4d875ca450eb8647cbb6cdb9dc50675f32458814df69075351ce95da384bc5a5/analysis/1500506502/
MD5 b3ea30d81d8fdbb19adc238fb588a40a
www.virustotal.com/ja/file/4b8f54349de42ea41afa3d271f269bb8de99795cd74bb3a38602be748425c839/analysis/1500849818/
なお、Windows 以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は動作しないファイル形式なので影響せず大丈夫です。
■ 感染被害を防ぐ無料ウイルス対策
「怪しいメールを開くな」「不審なファイルを開くな」 といった気合で乗り切る精神論を目にするけど、何だかんだヒューマンエラーを起こす危険性があります。
そこで、投入される機会が多いスクリプトファイルの脅威に対してキッチリ感染回避になる有効なウイルス対策をやっておくことを強くオススメします~。