Adobe Document Cloudお支払い確認できませんメールはウイルス対策2つで感染防ぐ : 無題なログ

Adobe Document Cloudお支払い確認できませんメールはウイルス対策2つで感染防ぐ

Image いらすとや

先月2017年9月から、実在する企業を名乗って不自然さのない日本語で書かれた巧妙な 迷惑メール（スパムメール） が不特定多数にバラ撒かれてます。

米ソフトウェア開発会社 Adobe Systems（アドビシステムズ）を騙り、Adobe Document Cloud サービスの料金支払い請求を装うもっともらしい偽メールがコチラ！

アドビ偽装の不審な迷惑メール実例

件名お支払いが確認できませんでした
送信者 Adobe <message＠adobe.com>
Document Cloud のお支払いが確認できませんでした。引き続きサービスをご利用いただくためには、お支払い方法を含むお客様の登録情報をご確認の上、更新をお願いいたします。無題な濃いログ
お客様のアカウント情報は、下記「アカウントの管理」ボタンから更新いただけます。
｛アカウントの管理、詳しくはこちら
｛こちらをクリックして、ご請求を詳しく説明してください:
｛http：//www.adobe.com/jp/account/[数字]
アカウントを更新することで、引き続きソフトウェアやサービスをご利用いただけます。
今後ともアドビ製品をご愛用いただきますようお願い申し上げます。
Adobe Document Cloud チーム
*****
Adobe, the Adobe logo, the Adobe PDF logo, and Acrobat are either registered
trademarks or trademarks of Adobe Systems Incorporated in the United States
and/or other countries. All other trademarks are the property of their
respective owners.
(C) 2017 Adobe Systems Incorporated. All rights reserved.
Registered Office: Adobe Systems Software Ireland Limited, 4-6 Riverwalk,
Citywest Business Park, Dublin 24, Ireland. Registered number: 344992
申し訳ございませんが、本メールは送信専用です。この製品についてご質問がある場合は、Adobe のラーニングおよびサポートページをご利用ください。Document Cloud アカウントにアクセスするには、「マイプラン」をご覧ください。無題な濃いログ

企業から送信されてくる通知メールの雰囲気とはカケ離れてます。

ただ、送信者が Adobe に偽装されており、詐欺メールと気付かず書かれてある日本語＋英語の文章を鵜呑みにするユーザーさんが残念ながら出現しそうです。

＜金銭ネタは敏感になり無視できない

感染手口はスクリプトファイル

Adobe を騙る詐欺メールに添付ファイルはなく、本文中の次のフレーズがリンクになってます。

「詳しくはこちら」
「http：//www.adobe.com/ ～」

仮にリンクをうっかりポチッとクリックすると、アドビシステムズのフィッシング詐欺サイトが表示されることはなく、zip形式の圧縮アーカイブがダウンロードされました。

zip形式のままでは何もできないので、圧縮ファイルを解凍・展開して中身を確認すると、次のような Windows の スクリプトファイル（拡張子 .js）の登場です。

【Adobe詐欺メールからのファイル】
支払い情報をチェック.js （hfgvjgbbdj.js）
支払い情報をチェック.DOC.js （hfgvjgbbdj.DOC.js）

「～.DOC.js」というファイル名は ”二重拡張子” と呼ばれるトラップで、Adobe の支払い情報が書かれたワード文書であるかのようユーザーに誤認させるのが狙いです。

＜ファイルの拡張子は表示してある？

■ ネットバンキングウイルスに感染

この.jsファイルを手元でポチポチッとダブルクリックして開いてみると、Windows のシステムに用意されてる正規プログラム powershell.exe を介して外部ネットワークに接続を試みます。

スクリプトファイルを開いた直後のプロセスの様子

この時、Windows向け実行ファイルがシレッとダウンロードされる処理になってて、この正体がネットバンキングなど不正送金被害に繋がるマルウェア Ursnif（読み方アースニフ）になります。

【スクリプトファイル】
d2274267d513d07907899d9eee37c120

www.virustotal.com/ja/file/68d18b62825fa868fdd7dbbc00d5db536c4a7f9c732f9f9561bef52f475e787e/analysis/1507184441/

f796567a4a3ca7e4166146595135588c
www.virustotal.com/ja/file/475bd936166abd599e7eb7f8e30192d97f32507801f81588d29c3b2612fac023/analysis/1507271888/

ESET JS/TrojanDownloader.Agent.QYI
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.SMQR JS_URSNIF.ED

【Ursnifウイルス】
7672bfcaf3ebd444a9030e1dad8088a5
www.virustotal.com/ja/file/7f4233a879da70f21bf5de93837a69089eaaa29b4a46e875c6f7074fd3b2337c/analysis/1507190889/

7ab662dc31fba6716dce5661e420f6b2
www.virustotal.com/ja/file/01f4d66d5acabfc4397b9f07f10840abc7a22da518fab1f823d95e3db3d9cc84/analysis/1507260379/

ESET Win32/Spy.Ursnif.AO Win32/Kryptik.FXJH
Kaspersky Trojan-Spy.Win32.Ursnif.ubj Trojan-Spy.Win32.Ursnif.ubq
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQS TSPY_URSNIF.AUSIQT

ちなみに、この Adobe ウイルスメール攻撃の対象はWindowsパソコンに限定され、それ以外の環境 Mac OS X、Androidスマホ、iOS（iPhone/iPad）、ガラケーはメール受信自体はあっても影響はなく大丈夫です。

ネットバンキングの出し子が逮捕されるも…

ネットバンキング不正送金の出し子（？）が摘発されたニュースが報じられてたけど、ここで名前が挙がってるマルウェア Dreambot（読み方ドリームボット）は要は Ursnif ウイルスのことです。

Googleニュースより

○ 最新ウイルス「ドリームボット」初摘発不正送金事件
ドリームボット」は、より安全度が高いとされる一回限りのパスワード（ワンタイムＰＷ）の入力を「セキュリティー上の理由」などとして利用者に求め、それに応じただけで、気づかないまま不正送金されてしてしまう。主な感染経路はメール。
○ 不正送金ウイルス摘発被害２．４億円警視庁
○ ワンタイムパス盗む新型ウイルス「ドリームボット」初摘発ネットバンク不正 ...

○ 感染ＰＣ２万５０００台今年上半期
警視庁サイバー犯罪対策課は５日、新種ウイルス「ドリームボット」を使い、ネットバンキング利用者の預金を不正に引き出していた犯罪グループを摘発 ... ワンタイムパスワードを悪用する「ドリームボット」は昨年１２月に国内で初めて確認された。

結局は「トカゲの尻尾切り」に終わるんでしょうか？

ウイルス感染を意図した日本語の迷惑メールを仕掛ける海外のサイバー犯罪グループの暗躍は終わらず、残念ながら今後も攻撃が継続していくようです。