最終更新: 2017年9月29日
<迷惑メール>佐川急便騙請求内容確定ご案内でウイルス感染危険
実在する日本の企業を勝手に名乗って成りすました怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれていて、特に攻撃対象となっている Windows ユーザーさんは注意が必要です。
- NTT-X Store 商品発送のお知らせ
- TRY×3 発送連絡 送信専用
- ナデポ 登録受付のご案内
- [佐川急便] 請求内容確定のご案内 NEW!
- お支払いが確認できませんでした NEW!
- 取組同意完了のご確認 オリックス・クレジット
- 重要 カスタマセンターからのご案内 楽天カード株式会社
- 口座振替日のご案内 楽天カード株式会社
- 楽天カードご請求予定金額のご案内
運送会社の 佐川急便株式会社 を騙り、もっともらしい請求書を装った偽物のEメールがこちら!
偽メール件名 [佐川急便] 請求内容確定のご案内
送信者 <kansai_ebusiness@sagawa-exp.co.jp>
平素は格別のご愛顧を賜り、心より御礼申し上げます。
※本メールは電子請求書発行サポートにご登録頂いたお客様を対象に送信しています。
請求の内容が確定しましたので、ご案内致します。無題な濃いログ 運賃請求書発行画面より請求書を取得して頂きます様、お願い申し上げます。
請求書番号
【[数字]】
┏━━━━━■取得方法┗━━━━━
『電子請求書発行サポートメニュー』選択後、『運賃請求書発行』から取得して下さい。
WEBトータルサポート(電子請求書発行サポート)へのログインはこちら
┏━━━━━■ご注意┗━━━━━
請求書をダウンロードいただく際には大変混雑が予想されます。
アクセスにお時間を要した場合は、ご面倒ではございますがしばらくたってから
ご利用いただけますようお願い申し上げます。
電子請求書発行サポートサービスは携帯電話ではご利用いただけません。
パソコンからのみご利用頂けます。
今後とも、いっそうのお引き立て賜りますよう、お願い申し上げます。
佐川急便株式会社
-----
▼お問合わせ先
操作方法等に関するお問い合わせは、
佐川急便 CSインフォメーションセンターまでお電話ください。
佐川急便株式会社 CSインフォメーションセンター
TEL:0120-28-[数字]
メールアドレス:denshiseikyuu@sagawa-exp[.]co.jp
受付時間:9:00~17:00(月~金 ※祝祭日・年末年始を除く)
-----
本メールは佐川急便インターネットサービスより自動で送信されています。
返信されましても受け付けできませんのでご了承下さい。 無題な濃いログ
機械翻訳を噛ませたかような不自然な日本語の文章ではなく、Eメールを読まずに無視することが難しい、完成度が高くて巧妙すぎる偽メールです。
圧縮ファイルから 「ショートカット」 ウイルス
Eメールに添付ファイルは付いていません。
偽メールを送信した攻撃者の狙いは、Eメール本文中に登場する誘導リンク (2 ヶ所) をユーザーさんに踏んでもらうことことであり、zip 形式の圧縮アーカイブ (拡張子 .zip) がダウンロードされます。
ダウンロードした圧縮アーカイブを手動で解凍・展開して中身を確認すると、「支払い情報をチェック」 (hfgvjgbbdj) という名前の ショートカットファイル を確認できました。
アイコン左下の矢印がショートカットの目印
【不正なショートカットファイル】
MD5 d95d1f0562b9f8cc8db808e8b6994ec1
www.virustotal.com/ja/file/e227e4af141879d57dc64f51b90be6c480ca1364933924ca7d9e3271048b7499/analysis/1506569567/
MD5 653ec72eb23774c9f0c73fd780186e88
www.virustotal.com/ja/file/daebba415ae0ca278ce51d417dac138ff9add95c54a1732a9ebbbd7e75df0cbb/analysis/1506653871/
ESET BAT/TrojanDownloader.Agent.NLN PowerShell/TrojanDownloader.Agent.VE
Kaspersky Trojan-Downloader.WinLNK.Powedon.k
Symantec Downloader Trojan.Gen.2
Trend Micro LNK_URSNIF.AE LNK_DLOADR.AUSUED
■ 正体はネットバンキングウイルス 「Ursnif」
仮に、このショートカットファイルを Windows パソコン上でポチポチッとダブルクリックして開くと、Windows のシステムに最初から用意されてあるプログラム bitsadmin.exe を介して外部ネットワークに接続を試みます。
この時、Windows 向けの実行ファイルがこっそりとダウンロードされてくるようになっていて、この実行ファイルの正体がネットバンキング不正送金被害で暗躍しているとされる 「Ursnif」 ウイルス (別名 Dreambot) になります。
【Ursnif ウイルス】
MD5 39ae37a244f127a092a9a1401c6c530a
www.virustotal.com/ja/file/3429c335b47043bd8e1f027d64c1d4ea5e81833107a9ede8b49df9dd10af612e/analysis/1506564669/
MD5 7c80305e801f5b0f2fda8c326eb7b7d0
www.virustotal.com/ja/file/df1189ffb40ebde70cb5dd129d691fcab716ce13468fa24a9b9f7eff4a21f73d/analysis/1506653678/
ESET Win32/Kryptik.FXCG Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif.uaa Trojan-Spy.Win32.Ursnif.uaf
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQN TSPY_URSNIF.AUSIQO
「ショートカット」 ウイルスを防ぐセキュリティ対策
ショートカットを悪用するマルウェアの役割は、何かしらメインのマルウェアをダウンロードする ”橋渡し” です。
ただ、ショートカットの機能だけでファイルをダウンロードすることは実現できないので、たいてい Windows のシステムに用意されてる正規プログラムに処理を投げるパターンが多いです。
- bitsadmin.exe ← 今回のウイルスメール攻撃で悪用
- powershell.exe ← より悪用されやすい定番プログラム
- wscript.exe
- mshta.exe
■ ウイルス対策にファイアウォール設定を
ということで、外部通信を Windows ユーザーさんが制御できる ファイアウォール に大いに活躍してもらいましょう。 <Windows ファイアウォールを使用しているなら無料
正規プログラムをあらかじめ通信ブロック対象に登録しておくと、ウイルス感染攻撃は攻撃者の狙ったとおりに最後まで進まず100%失敗することが期待できます。