NTT-X Store商品発送のお知らせ迷惑メールはウイルス ショートカットファイルが危険!

イメージ 1
Image いらすとや

実在する NTT 系列のオンライン通販サイト NTT-X Store に成りすまして、注文したノートPCの商品発送通知を装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれました。
件名 【NTT-X Store】商品発送のお知らせ
送信者 <tsuhan@nttxstore.jp>

注文番号X170516-[数字]-0
━━━━━
◎本メールは発送時に、自動送信されております。
━━━━━
毎度ありがとうございます。「NTT-X Store」です。
ご注文頂いております商品を発送させていただきましたのでご報告申し上げます。
詳しくはこちら
 商品コード EI[数字]
 型番    SA5-271-F58U/F
 商品名   SA5-271-F58U/F (i5/W10H64/H&Bprem/シルバー)
 JANコード  [数字]
 出荷数   1
 出荷日   2017/09/20
 運送便   佐川急便EDI
 送り状No  [数字]
【配送確認サービス】
下より送り状番号から配達状況・お問い合わせ先をお調べ頂けます。
荷物URL: 詳しくはこちら
なお、運送会社都合によりご指定の着日・時間帯にお届けできない場合がござい
ます。配送状況につきましては当店または運送会社に直接お問い合わせ下さい。
【販売店印について】
保証書の販売店欄は未記入となっております。
出荷時に商品と同梱しております「納品書」を販売店印とさせていただきます。
「納品書」は商品と同梱もしくは、運送会社送り状下のシート内に
封入しております。同梱されていない場合はお手数ですがご連絡下さいます
様お願い申し上げます。
尚、製品によっては、保証書が同梱されておりません。
その場合は「納品書」が当店での購入証明書となりますので、
大切に保管頂きますようお願い申し上げます 。
【領収書発行をご依頼いただいたお客様へ】
(1)お支払い方法:銀行振込・クレジットカード のお客様
  当店Webサイト上からpdf形式で発行・ダウンロードできます。
  ご注文時の購入状況(会員購入・ゲスト購入)により、申請~発行方法が
  異なりますのでご注意下さい。
  ※領収書の発行について → 詳しくはこちら
(2)お支払い方法:代引き(佐川e-コレクト) のお客様
  商品の運送便送り状の一部が領収書になっています。当店発行のものを
  ご希望の場合はそちらをご返送いただければ差し替えで発行いたします。
  ※送付先住所はこちら → 詳しくはこちら
ご利用ありがとうございました。
またのご利用、心よりお待ち申し上げております。
―――――
NTT-X Store http://nttxstore.jp/
TEL:0120-[数字] (携帯電話からは 03-5746-[数字])
平日10:00~19:00 土日祝日10:00~18:00
MAIL:
tsuhan@nttxstore.jp
日本語の文章は、機械翻訳したような文法的にツッコミどころ満載の不自然さがなく完璧すぎてヤバい! <NTT-X Store が送信する正当なメールの文面が悪用されてる?

イメージ 8
型番・商品名は実在するエイサーのPC
(日本エイサーの公式サイトより)

「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください – gooヘルプ
https://help.goo.ne.jp/help/article/2230/

zip圧縮ファイルからショートカットウイルス

メールに添付ファイルはなく、本文中に登場する4ヶ所の 『詳しくはこちら』 が誘導リンクになってます。

仮にもポチッとクリックすると、NTT-X Store を装うフィッシングサイトが表示されるワケではなく、zip形式の圧縮アーカイブがダウンロードされます。

これを手動で展開・解凍して中身を確認すると 「NTT-X Store 注文の詳細内容」 という名前が付けられた Windows の ショートカットファイル でした。

《9月21日の攻撃メール》

イメージ 3
ダウンロードしたzipファイルの中身

処理内容は powershell.exe を介して外部ネットワークに接続し PowerShell スクリプトを読み込み、さらに bitsadmin.exe を介して無害な実行ファイル(無料Telnet/SSHクライアント PuTTY) のデータをダウンロードするようになってました。

イメージ 4
siembamba[.]com 185.141.27.200

【不正なショートカット】
MD5 8b03f2a3673a421a1bc4715b9ea81737
www.virustotal.com/ja/file/52698bfb1997507672761248bf5469404de2550a11d7667a07ab1ed84304d519/analysis/1505963562/


ESET PowerShell/TrojanDownloader.Agent
Kaspersky Trojan-Downloader.WinLNK.Agent
Symantec Downloader

【無害なPuTTYの実行ファイル】
MD5 9bb6826905965c13be1c84cc0ff83f42

《9月22日の攻撃メール》

イメージ 2
ダウンロードしたzipファイルの中身

処理内容は bitsadmin.exe を介して外部ネットワークに接続し Ursnifウイルス をダウンロードしてきて起動します。 <ネットバンキングなど不正送金被害で暗躍してるマルウェア!

イメージ 5
siembamba[.]com 185.141.27.200

【不正なショートカット】
MD5 c9511d675946d7a09ae4cc968578350f
www.virustotal.com/ja/file/af71b6b0a7ecb36c0950f2bb7595656f1417a9b0c20d142e5c84978af2fc9ec3/analysis/1506058748/

Kaspersky Trojan-Downloader.WinLNK.Powedon
Microsoft  TrojanDownloader:Win32/Lonkath.A!lnk
Symantec  Downloader
Trend Micro  LNK_URSNIF.AC


【Ursnifウイルス】
MD5 1e60ccc19c0751d6ca15759de77a148b
www.virustotal.com/ja/file/090920d0df3dca39fa848569ca4bc60fc3244a39e9e1181bc78a54d3dcc7ae89/analysis/1506059397/

ESET Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQJ


22日が本番の攻撃で、その前日21日は攻撃者の実験が目的かいな?

とにかく Windows パソコン上で不正なショートカットをポチポチッとダブルクリックしたら攻撃処理発動でアウトになります。 <注文したノートPCの詳細内容なぞ表示されない

ショートカットウイルスの対策

ショートカットファイルには拡張子 「~.lnk」 が実は用意されてるものの、Windows のエクスプローラーやデスクトップ上では、この拡張子がいっさい表示されない仕様が存在します。

ということで、メールでショートカットファイルをやり取りする場面は100%あり得えず、種類の表記アイコン左下の矢印マーク で脅威を見抜かないといけません。 <ただ現実的にそこに注意を払うユーザーさんがたくさんいるとは思えない

イメージ 6
見抜ける!? ショートカットウイルス実物画像

ファイアウォールの活用

ショートカットファイルができることは限られるので、マルウェアの実行ファイルを外部ネットワークからダウンロードする処理は Windows の正規プログラム powershell.exebitsadmin.exe を悪用するパターンです。

そうなると、この実行ファイルを Windows ファイアウォールなどで事前にブロックするウイルス対策はけっこう有効で、不正なショートカットファイルをうっかり踏み抜いても感染攻撃失敗 です。

イメージ 7
Windows に最初から実装されてる無料ファイアウォール
正当なプログラム PowerShell の送信接続をブロックする

関連するブログ記事