無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2014/02

| ✏️ Firefly

Renaissan-Construct LTD? お金の運び屋マネーミュールを探す架空企業

英語が理解できて、日本に在住する人材を募集する怪しい英文スパムメールが不特定多数にバラ撒かれてます… <貴重な岩石を日本に輸出したいからメンバー探してるって
Dear Sirs!

Excuseus for bothering you. Our company "Renaissan-Construct LTD"
exports valuable rock to Japan and due to personnel extension we are
seeking for members in Japan. If you would like to have some details
about the above mentioned proposition you can send an e-mail to our
e-mail address supp.renaissan@gmail.com or
support@renaissan-construct.net

Best regards,
*****
メール本文に登場する Renaissan-Construct LTD の公式サイトと思われるURLアドレスを訪問してみると、実在する企業?

http://i60.tinypic.com/xkpt9i.jpg
renaissan-construct.net
(ウクライナ 194.54.90.99)

サイト右下には『© 2004-2014 ""Renaissan-Construct LTD""』なんて文字が見えるけれど

 
ドメイン所有者の住所はオランダ? メルアドがモルドバのフリーメールサービスとなってます。

ttp://jsunpack.jeek.org/?report=4f48db58fd5309c001f8f511ceff7590acecde24
ttp://jsunpack.jeek.org/?report=70c1a0a66374906aa5bbd55ee687079ba98bf52b
  • ドメインが取得された日 2014年2月12日
  • サーバー上にアップされてる画像ファイルなんかの更新日 2014年2月19日
実は出来たてホヤホヤ。このサイトの目的はエフセキュアブログの解説によると…
彼らはたった1つの目的、こうした企業が合法的なもので、実在して社歴もあるように見せかけるためにサービスを提供している。人を雇おうとする際に信頼感を持たせるために、こうしたことが必要になる。

それで、どういったタイプの人を、偽企業は雇うのか? とりわけマネーミュールの雇用を行っている。
 


[2月27日 追記...]

サイトは「~ has been suspended because it violated the rules of hosting.」ってことでサーバー会社が規約違反で閉鎖措置に。


↑海外のフォーラムにて、問い合せたメールの返信が公開されてて、やっぱりマネーミュールのお仕事!

口座に振り込まれたお金のうち”7%”が報酬ってことで、例を挙げて『80万円振り込まれたら、報酬5万6千円を差し引いた残りの74万4千円をウエスタンユニオン使ってウチの会社に送金』みたいなことをやってほしい、という仕事。
タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

| ✏️ Firefly

【はとバス】 IEゼロデイ脆弱性 日本国内ユーザーを狙うウイルス感染攻撃も (CVE-2014-0322)

Internet Explorerブラウザの バージョン9(IE9)バージョン10(IE10) で確認された未解決の脆弱性 CVE-2014-0322…
  • Internet Explorer の脆弱性対策について(CVE-2014-0322) (IPA 独立行政法人 情報処理推進機構)
    http://www.ipa.go.jp/security/ciadr/vul/20140220-ms.html
  • セキュリティ アドバイザリ 2934088「Internet Explore の脆弱性により、リモートでコードが実行される」を公開 (Microsoft)
    http://blogs.technet.com/b/jpsecurity/archive/2014/02/20/3623321.aspx
  • IE9/10にパッチ未公開の危険な脆弱性、悪用した標的型攻撃が出現 (ITpro)
    http://itpro.nikkeibp.co.jp/article/NEWS/20140220/537986/

暫定的に対処する Fix itプログラム(Microsoft Fix it 51007) がマイクロソフトから提供されてるので、実行しておいたほうがいいかと。

◆ 日本国内ユーザーを狙うウイルス感染攻撃の例

とある有名な日本国内企業の公式サイトがハッキングされてて、この脆弱性を悪用する処理が仕掛けられてるのを確認してます。

広く一般ユーザーが普通にアクセスするサイトだと思うので結構ヤバイ…。

 
http://www.*****.co.jp/
 http://www.*****.co.jp/js/rollover.js
  http://***.*****.co.jp/main/images/ie.html ← IE 0-day
   http://***.*****.co.jp/main/images/Tope.swf
   http://***.*****.co.jp/main/images/1.htm ← Java Exploit
 
IEのゼロデイ脆弱性を突く処理以外に、Java旧バージョンに存在する脆弱性を突く処理も別に用意されてます。
 
《1》 IEブラウザの脆弱性 (ゼロデイ)
《2》 Javaの脆弱性 (既知のもの)

Javaの方はIEブラウザ以外に Firefox や Chrome なども影響を受けるはずで、Javaをちゃんと最新版に更新してあるか、Java が導入されてないなら無影響。



[2月25日 追記...]

はとバスの公式サイト(www.hatobus.co.jp)が改ざん被害を受けたことを報告、対象期間は2014年2月18日~24日だそうな。

サイト閲覧でウイルスが強制インストールされる脅威で、影響がある環境はWindowsパソコンだけです。スマホ、携帯電話、Mac などは関係ありません。

Java を悪用する処理は、下のどれかに当てはまってれば被害は起こってません。
  • Java は最新版に更新されてる
  • ブラウザの Java は無効化されてる
  • Java はそもそもインストールされてない

セキュリティソフト/ウイルス対策ソフトを導入していて、かつウイルス定義が最新に維持されてたなら、被害は起こってない可能性がかなり高い?

この攻撃に関連するファイルの対応率は高め!
ttp://www.virustotal.com/ja/file/01fa105e84aa410ab4c035a8a72b008f69727fd5bede5346e0b0a7b30dab765c/analysis/1393149422/
ttp://www.virustotal.com/ja/file/b9c9dab0fd30418884800afebbaba4d99f4526ef0c9a47972a20ab20fed0a06d/analysis/

はとバス公式サイト改ざん被害で、地獄へ落ちてもおかしくないWindowsユーザーさんは下のようなパターン。。。
  1. セキュリティソフトが導入されておらず、警告してくれる手段がない状態
  2. ↑は導入されてるものの、期限切れでウイルス定義が更新されてない、あるいは常駐監視機能が動いてない状態
このエントリーをはてなブックマークに追加

| ✏️ Firefly



攻撃者によるニセ広告 (Googleのキャッシュページより)


京銀ダイレクトバンキング
京都銀行ダイレクト ログイン! 京都銀行カードローンはお申込み手数料不要!
www.kyotobank.co.jp/

フィッシング詐欺の定番である偽メール経由で誘導するのではなく、検索エンジンの検索結果とか一般のウェブサイト上に掲載されてる広告リンクから偽サイトに誘導! イメージ 1


京都銀行のネットバンキングを装ったフィッシング詐欺ページへ誘導する流れはこんな感じ?


検索結果や一般サイトの広告リンク
 ↓ ユーザーがクリック
http://rd.listing.yahoo.co.jp/o/ ~
 ↓ リダイレクト
http://kyotobank.searchjpwatch.com
 ↓ リダイレクト
http://kyotobank.paweb-anser.info/or.jp/ ~

2番目のリダイレクト部分は、リファラをチェックして振り分けるナンとも特徴的な処理が見えます。

kyotobank .searchjpwatch .com
フィッシング詐欺ページヘリダイレクトするHTMLソース (Bingのキャッシュページより)

加えて、この攻撃者は、ネットバンキングで同じシステムを採用してる名古屋銀行の偽サイトもこしらえてたっぽい。

kyotobank .paweb-anser .info / meigin .paweb-anser .info
京都銀行と名古屋銀行の偽サイト (Googleの検索結果より)

ログインページでは、ブラウザのアドレスバーに目を向けるクセを付けるべし! 偽のネットバンキングサイトは下の2条件に当てはまってます。 イメージ 2


  1. URLアドレスが 「https:// ~」 ではなく 「http:// ~」 のままである

  2. アドレスバーに南京錠(鍵)マークが表示されてない
    (マークの表示位置は、IEだとバーの右側、Firefox・Chromeだとバーの先頭)
タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

↑このページのトップヘ