Adobe Document Cloudお支払い確認できませんメールはウイルス 対策2つで感染防ぐ
先月2017年9月から、実在する企業を名乗って不自然さのない日本語で書かれた巧妙な 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 



- 【NTT-X Store】商品発送のお知らせ
- [TRY×3] 【発送連絡】 (送信専用)
- [ナデポ]登録受付のご案内
- [佐川急便] 請求内容確定のご案内
- お支払いが確認できませんでした
米ソフトウェア開発会社 Adobe Systems(アドビシステムズ) を騙り、Adobe Document Cloud サービスの料金支払い請求を装うもっともらしい偽メールがコチラ!

アドビ偽装の不審な迷惑メール実例
件名 お支払いが確認できませんでした
送信者 Adobe <message@adobe.com>
Document Cloud のお支払いが確認できませんでした。引き続きサービスをご利用いただくためには、お支払い方法を含むお客様の登録情報をご確認の上、更新をお願いいたします。 無題な濃いログ
お客様のアカウント情報は、下記「アカウントの管理」ボタンから更新いただけます。
{アカウントの管理、詳しくはこちら
{こちらをクリックして、ご請求を詳しく説明してください:
{http://www.adobe.com/jp/account/[数字]
アカウントを更新することで、引き続きソフトウェアやサービスをご利用いただけます。
今後とも アドビ製品をご愛用いただきますようお願い申し上げます。
Adobe Document Cloud チーム
*****
Adobe, the Adobe logo, the Adobe PDF logo, and Acrobat are either registered
trademarks or trademarks of Adobe Systems Incorporated in the United States
and/or other countries. All other trademarks are the property of their
respective owners.
(C) 2017 Adobe Systems Incorporated. All rights reserved.
Registered Office: Adobe Systems Software Ireland Limited, 4-6 Riverwalk,
Citywest Business Park, Dublin 24, Ireland. Registered number: 344992
申し訳ございませんが、本メールは送信専用です。この製品についてご質問がある場合は、Adobe のラーニングおよびサポートページをご利用ください。Document Cloud アカウントにアクセスするには、「マイプラン」をご覧ください。 無題な濃いログ
企業から送信されてくる通知メールの雰囲気とはカケ離れてます。
ただ、送信者が Adobe に偽装されており、詐欺メールと気付かず書かれてある日本語+英語の文章を鵜呑みにするユーザーさんが残念ながら出現しそうです。
<金銭ネタは敏感になり無視できない

感染手口はスクリプトファイル
Adobe を騙る詐欺メールに添付ファイルはなく、本文中の次のフレーズがリンクになってます。
- 「詳しくはこちら」
- 「http://www.adobe.com/ ~」
仮にリンクをうっかりポチッとクリックすると、アドビシステムズのフィッシング詐欺サイトが表示されることはなく、zip形式の圧縮アーカイブがダウンロードされました。
zip形式のままでは何もできないので、圧縮ファイルを解凍・展開して中身を確認すると、次のような Windows の スクリプトファイル(拡張子 .js) の登場です。 


【Adobe詐欺メールからのファイル】
支払い情報をチェック.js (hfgvjgbbdj.js)
支払い情報をチェック.DOC.js (hfgvjgbbdj.DOC.js)
「~.DOC.js」 というファイル名は ”二重拡張子” と呼ばれるトラップで、Adobe の支払い情報が書かれたワード文書であるかのようユーザーに誤認させるのが狙いです。
<ファイルの拡張子は表示してある?

■ ネットバンキングウイルスに感染
この.jsファイルを手元でポチポチッとダブルクリックして開いてみると、Windows のシステムに用意されてる正規プログラム powershell.exe を介して外部ネットワークに接続を試みます。

スクリプトファイルを開いた直後のプロセスの様子
この時、Windows向け実行ファイルがシレッとダウンロードされる処理になってて、この正体がネットバンキングなど不正送金被害に繋がるマルウェア Ursnif(読み方 アースニフ) になります。
【スクリプトファイル】
d2274267d513d07907899d9eee37c120www.virustotal.com/ja/file/68d18b62825fa868fdd7dbbc00d5db536c4a7f9c732f9f9561bef52f475e787e/analysis/1507184441/
f796567a4a3ca7e4166146595135588c
www.virustotal.com/ja/file/475bd936166abd599e7eb7f8e30192d97f32507801f81588d29c3b2612fac023/analysis/1507271888/
ESET JS/TrojanDownloader.Agent.QYI
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.SMQR JS_URSNIF.ED
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.SMQR JS_URSNIF.ED
【Ursnifウイルス】
7672bfcaf3ebd444a9030e1dad8088a5
www.virustotal.com/ja/file/7f4233a879da70f21bf5de93837a69089eaaa29b4a46e875c6f7074fd3b2337c/analysis/1507190889/
7ab662dc31fba6716dce5661e420f6b2
www.virustotal.com/ja/file/01f4d66d5acabfc4397b9f07f10840abc7a22da518fab1f823d95e3db3d9cc84/analysis/1507260379/
ESET Win32/Spy.Ursnif.AO Win32/Kryptik.FXJH
Kaspersky Trojan-Spy.Win32.Ursnif.ubj Trojan-Spy.Win32.Ursnif.ubq
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQS TSPY_URSNIF.AUSIQT
Kaspersky Trojan-Spy.Win32.Ursnif.ubj Trojan-Spy.Win32.Ursnif.ubq
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQS TSPY_URSNIF.AUSIQT
ちなみに、この Adobe ウイルスメール攻撃の対象はWindowsパソコンに限定され、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメール受信自体はあっても影響はなく大丈夫です。 


ネットバンキングの出し子が逮捕されるも…
ネットバンキング不正送金の 出し子(?) が摘発されたニュースが報じられてたけど、ここで名前が挙がってるマルウェア Dreambot(読み方 ドリームボット) は要は Ursnif ウイルスのことです。 

○ 最新ウイルス「ドリームボット」初摘発 不正送金事件
ドリームボット」は、より安全度が高いとされる一回限りのパスワード(ワンタイムPW)の入力を「セキュリティー上の理由」などとして利用者に求め、それに応じただけで、気づかないまま不正送金されてしてしまう。主な感染経路はメール。
○ 不正送金ウイルス摘発 被害2.4億円 警視庁
○ ワンタイムパス盗む新型ウイルス「ドリームボット」初摘発 ネットバンク不正 ...
○ 感染PC2万5000台 今年上半期
警視庁サイバー犯罪対策課は5日、新種ウイルス「ドリームボット」を使い、ネットバンキング利用者の預金を不正に引き出していた犯罪グループを摘発 ... ワンタイムパスワードを悪用する「ドリームボット」は昨年12月に国内で初めて確認された。
結局は 「トカゲの尻尾切り」 に終わるんでしょうか?
効果的なウイルス感染防止対策2つ
他人事として 『自分は大丈夫♪』 と過信してはいけないです。
Adobe 装う詐欺メールから不正なファイルをうっかり開いても攻撃を喰らわず100%感染回避になる効果的な Windows 向けウイルス対策2つ を紹介します。 



【1】 スクリプトファイルの無害化
スクリプトファイルの拡張子(.js/.vbs/.wsf)の関連付けを変更する作業をあらかじめ行っておきます。
<Windows の設定を変えるだなので簡単&無料

【2】 ファイアウォールで通信ブロック
Windows の正規プログラム powershell.exe や wscript.exe が悪用されるので、今後のウイルスメール攻撃も見越してあらかじめ手を打っておくと安心です。
<標準で実装されてる Windows ファイアウォールでも無料で対策可能

関連するブログ記事
最終更新日: 2017/12/07