三井住友銀行Web21電子認証振込承認メールはウイルス 対策2つで感染防ぐ?

イメージ 7
Image いらすとや

実在する企業を勝手に名乗り、完成度の高い日本語の文章で書かれた怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
実在する 「三井住友銀行のソリューションセンター」 やサービス名 「ValueDoor」 を騙る偽メールがコチラ!
件名 【重要】[三井住友銀行] Web21電子認証による振込承認時のワンタイムパスワード必須化について(2017年11月目途)
送信者 <e-biz_info@dn.smbc.co.jp>

法人インターネットバンキングValueDoorご利用者さま
◇-----◇
いつも法人向けインターネット窓口「ValueDoor」を
ご利用いただきありがとうございます。
◇-----◇
お客さまにお伝えしたい事項がございますので、お知らせいたします。
詳細につきましては、法人インターネットバンキングトップから
ご覧いただけますよう、よろしくお願い申し上げます。
▼重要 電子認証による振込承認時の「ワンタイムパスワード」必須化について(2017年11月目途)
【法人インターネットバンキングトップはこちら】
このメールアドレスへのメール配信を停止したい場合は
下記の手順に沿ってお手続きをお願いいたします。
法人インターネットバンキングトップの環境設定メニューから
(1)画面・メール要否の設定をクリックする。
(2)当行からのメールの要否設定(要・不要)を変更する。
(3)設定ボタンをクリックする。
「設定が完了しました」と表示されましたらお手続きは完了です。
(ご注意)
・本メールアドレスは送信専用です。ご返信・お問い合わせはお受けしておりません。
・金融機関等を装う電子メールにご注意ください。
 「三井住友銀行」名でお送りするメールには、携帯電話向けを除いてすべて電子署名を
 付けています。電子署名の確認方法等、メールのセキュリティについては、当行の
 ホームページをご覧ください。
2017/06/06
三井住友銀行
━━━━━
□三井住友銀行のソリューションセンター□
 電話番号 0120-286-[数字]
 受付時間 9:00~19:00(銀行休業日を除く、月~金曜日)
━━━━━
攻撃者の狙いは、本文中に登場する 「【法人インターネットバンキングトップはこちら】」 リンクをポチッとクリックさせることだけです。 <添付ファイルはなし

スクリプトファイルを開かせる手口

仮にもクリックすると、三井住友銀行の詐欺サイトが表示されることはなく、圧縮アーカイブ(zip形式)のダウンロードです。

イメージ 1
「警告!今はをチェックしてください.zip」
日本語がおかしいw

このファイルを解凍・展開して中身を確認すると、スクリプトファイル(拡張子 .js) または ワード文書ファイル(拡張子 .docx) でした。

スクリプトファイルの場合

イメージ 2
「セキュリティ情報.DOC.js
(vhlqgxvj.DOC.js

.jsファイルをポチポチッとダブルクリックして開くと Windows Script Host を介して外部ネットワークに接続を試み実行ファイルをダウンロードしてくるはずが、それ以前にエラーとなって正常に動作しませんでした。

イメージ 3
正常に動作せず攻撃者のミス?

【スクリプトファイル(ただし動作せず)】
MD5 321a4b5c667c6f3ee24ef90ec213e5c8
www.virustotal.com/ja/file/71141eb33f34ba4b6bf6270eda2b408b068fd3fd9bced5477aac04e935518c8b/analysis/1510639835/


Kaspersky HEUR:Trojan.Script.Agent.gen
Trend Micro JS_DLOADR.AUSUEC

ワード文書ファイルの場合

イメージ 4
「セキュリティ情報.docx
(vhlqgxvj.docx

Microsoft Word で.docxファイルを開くと、文書内に 「ダブルクリックすると情報が表示されます」 なるダマしのメッセージが表示されており、Windowsユーザーに中央のコンテンツ領域をダブルクリックするよう誘惑します。

イメージ 5
ダマしの誘導メッセージと確認ダイアログ

この指示がウソであると見抜けずポチポチッとダブルクリックすると、埋め込まれてるスクリプトファイルを開くか確認ダイアログが表示されて [開く(O)]ボタン を押した場合に Ursnifウイルス に感染しアウトとなります。

イメージ 6
Windows のプロセスの様子
PowerShell 介してUrsnifウイルスに感染させる処理

【ワード文書ファイル】
MD5 e2a898189d57563b9e2ee33699f951a1
www.virustotal.com/ja/file/535343c0decc93cbec65542a5a651df03d02e28622ab0802446b5ea580477d1d/analysis/1510644299/

【埋め込まれてるスクリプトファイル】
MD5 32711ac13d35aa6a7500b6a9ba3e2dac
www.virustotal.com/ja/file/7b611ab1f06314d374bff896cfbbd10b295bb7b11b489aa80825d89e8a974c94/analysis/1510645484/

ESET PowerShell/TrojanDownloader.Agent.YM
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft  TrojanDownloader:JS/Nemucod
Symantec W97M.Downloader JS.Downloader
Trend Micro JS_POWL.00A0A93B JS_POWLOAD.ELDSAUHA

【Ursnifウイルス】
MD5 9ea52ac93a449aa7d52405bf3417e5a5
www.virustotal.com/ja/file/5479746c9f658c99865ea1d0fb605c769f7a8e0b1ef64ae74aa08f66e88063eb/analysis/1510641478/

ESET Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif.uov
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRJ

ワード文書ファイルは Microsoft Office のVBAマクロ機能を悪用する マクロウイルス ではなく、不正なスクリプトファイルを覆うオブラートの役目を果たしてます。 <ユーザーがファイルを開く確率を上げる攻撃者の戦略

効果的に感染を防ぐウイルス対策2つ

不審なメールを開くな」「怪しいリンクをクリックするな」 なんて言われるけど、自力で見抜けくのが困難なユーザーさんも一定数いるのが現実です。

そのため、どんだけ人為的ミスを引き起こしても100%確実にウイルス感染しない効果的な無料ウイルス対策2つを紹介します。

【1】 スクリプトファイルの無害化

ウイルスメール攻撃者は スクリプトファイル(拡張子 .js) を開かせようとしてます。

そこで、スクリプトファイルの関連付けをあらかじめ変更しておくと不正なスクリプトを使った攻撃を完全に無にできます。 <Windows の設定を変更するだけなので簡単♪

【2】 ファイアウォールの活用

ウイルスメール攻撃者はマルウェアのダウンロード処理に Windows の正規プログラムを悪用してます。 <セキュリティ製品を迂回させるため

そこで、ファイアウォールでこの実行ファイルをあらかじめ通信ブロックするよう設定しておきます。 <無料 Windows ファイアウォールでも対処可能
  • Windows Script Host (wscript.exe)
  • Windows PowerShell (powershell.exe)