無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2014/12

| ✏️ Firefly

RTFウイルス リッチテキストファイルに埋め込まれた支払伝票? 追跡番号?
 
{{{ 2015年1月 更新 }}}
 
英語表記の迷惑メール(スパムメール)に、ナゾのリッチテキスト文書(拡張子 *.rtf)が添付されてました。 <見た目で判断できないけど不正なファイル!
 
この手のウイルスメールの場合、多くは実行ファイル(拡張子 *.exe)か、スクリーンセーバー(拡張子 *.scr)、それを圧縮したZIPファイルが添付の定番だけど、これはちょい珍しめ。
 
イメージ 1 
PAYMENT PROCEDURE.rtf (=支払い手続き)
 
イメージ 5
TRACKING NUMBER.rtf (=追跡番号)
ワードパッド で開いてみた!
Windows 標準のワードパッドでRTF文書ファイルを開きました。
 
開いた直後に、セキュリティ警告『一部のコンテンツがブロックされています』が表示され、{ブロックの解除} or {OK} から選択するダイアログがー。
 
イメージ 3

リッチテキストファイル内部には…
 
PAYMENT SLIP.scr」(意味は「支払伝票」)なるスクリーンセーバー(拡張子 *.scr)、もう一方には「TRACKING NUMBER.exe」なる実行ファイル(拡張子 *.exe)が別に埋め込まれてることが分かりました。 <これがメインのマルウェア本体
 
 
イメージ 2
 
イメージ 6
 
この文書の上部には悪魔のメッセージによる指示があります。
 
Double click the file below then click on RUN to view your payment slip.
あなたの支払伝票を表示するには下のファイルをダブルクリックし、[実行]をクリックしてください。
 
Please double click the tracking number and then make sure you click on RUN to view
表示するため、追跡番号をダブルクリックし[実行]をクリックして確認してください
 
ただ、今回のRTFファイルの場合、なぜかワードパッドだとダブルクリックしても反応がなく起動できませんでした。(一部のコンテンツが機能しないの影響?)
Microsoft Office Word で開いてみた!
今度は、Word でRTF文書ファイルを開きました。
 
悪魔の指示通りにダブルクリックしてみたら、セキュリティの警告『発行元を確認できませんでした。このソフトウェアを実行しますか?』が表示されました。
 
イメージ 4
 
当然ながら、もしここで[実行]ボタンをポチっと押してしまたら終了! ウイルス感染アウトーッ!
 
警告も表示されるので最後まで誘導するには敷居が高いけど、中身を確認しなければならない使命感に駆られてしまう一部のユーザーさんは突き進んでしまう?
世界のセキュリティ・ラボから - リッチ・テキストによるマルウエア (ITpro、2007年)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070611/274346/

不正なコントロールパネルファイルが添付されたスパムメールを確認 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8348

RTFファイルを悪用する不正プログラムが増加 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8603

Brazilian Bankers Gone Wild: Now Using Malicious Office Files (Kaspersky)
http://securelist.com/blog/research/57303/
 

日本でも確認されたウイルスメールの手口

英語メールなんて自分は無視するから関係ないし…
 
タグ :
#Windows
このエントリーをはてなブックマークに追加

| ✏️ Firefly

NHK 自治会 防災時報 地震緊急速報 放射能センター 迷惑メールから出会い系サイト誘導
 
イメージ 1
 
何ともイヤらしすぎな件名や内容で、URLアドレスのクリック誘導を狙ってる日本語表記な迷惑メール(スパムメール)にご注意を!
  • アダルト系キーワードが含まれてないから迷惑メールフィルタ回避?
  • メールが読まれる前に破棄されてしまわないよう開封率アップ?
  • メール本文中のリンクのクリック率アップ?
さすがに怪しすぎなメールとはいえ、実在する団体からさも送信されてるかのよう差出人を偽装して不特定多数に送信されてるみたい~。
件名 お住まいの地域で放射線が多量計測されています
差出人 放射線センター

下記より地域マップや動植物の被爆状況を確認できます。
お住まいの地域をご確認ください。

http:// ~
件名 地震緊急速報です
差出人 地震緊急速報

近隣地域で地震の注意勧告がされています。
下記よりご確認下さい。

http:// ~
件名 自治会のお知らせ。
差出人 自治会

自治会の大事なお知らせなどをすぐに確認できるようにブログで告知するようになりました。
試験導入ですが一度ご確認をお願い致します。

地域ふれあいブログ
http:// ~
件名 災害時の避難経路についてお知らせ。
差出人 防災時報

同地区の避難経路、及び避難場所についてご確認をお願いしております
お手数ですが、下記より同地区の避難経路、及び避難場所を把握頂きます様宜しくお願い致します。

http:// ~
件名 NHKより重要なお知らせ。
差出人 NHKサポートセンター

放送受信契約の未契約世帯への訴訟予告通知の発送について。

NHKでは、テレビ受信機を設置しているにもかかわらず、放送受信契約を結んでいただけない世帯や事業所に対し、公共放送の役割や受信料制度の意義などについて誠心誠意説明を行っていますが、それでもなおご契約いただけない場合、受信料の公平負担を徹底する観点から民事訴訟を提起することとしています。

重要なお知らせとなりますので下記をご確認お願い致します。

http:// ~
件名 カスタマーセンターからのお知らせ。
差出人 カスタマーセンター

いつもご利用、誠に有難う御座います。
お客様のお使いのハードディスクのサポート期限に重大な変更点が御座います。

お手数ですが下記マイクロカスタマーセンターよりご確認をお願い致します。

http:// ~
メールの目的は、「出会い系サイト」「サクラサイト」への誘導なのでウイルス感染はないけど、URLアドレスに引っ付いてる文字列が”ビーコン”の役割を担ってる可能性があります。
 
片っ端から無差別にバラ撒く中で有効なメールアドレスを調査してる?
 
何となしにクリックしてしまえば、相手側にどのメールアドレス経由でやって来たのかがバレてしまい、そのメールアドレス宛に更なる迷惑メールが舞い込むやも…。
タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

| ✏️ Firefly

【詐欺】ブリザードエンターテイメント迷惑メール フィッシングサイト誘導

イメージ 3
Image いらとや

オンラインゲーム関連で実在する企業 スクエア・エニックスネクソンハンゲーム などを勝手に名乗って不特定多数にバラ撒かれる日本語表記の 迷惑メール(スパムメール)

手元には海外のオンラインゲーム World of Warcraft(ワールド・オブ・ウォークラフト) や Diablo(ディアブロ) の開発元を装った英語表記の偽メールも着弾してます。 <ぜんぜんプレイしたことない

 Blizzard Entertainment
(ブリザード・エンターテインメント)

イメージ 1
オンラインゲームのアカウント狙うフィッシングメール
件名 World of Warcraft and Diablo III- License Banned‏
送信者 Blizzard Entertainment <noreply@battle.com>
Violates our policies for Battle.net
Dear customer,
Because you are involved in the trading of gold and equipment, legitimately means playing with an unaltered game client.
Doing otherwise violates our policies for Battle.net, and it goes against the spirit of fair play that all of our games are based on.
We strongly recommend that you avoid using any hacks, cheats, bots, or exploits. Suspensions and bans of players that have used or start using cheats and hacks.
You can confirm that you are the original owner of the account to this secure website with:
http://us.bettle.net.pmyt[.]xyz/login/en/?ref=https%3A%2F%2Fwww.battlenet.com.cn%2Faccount%2Fmanagement%2Findex.xml&amp;app=bam
Login to your account, In accordance following template to verify your account.
* Account Name and Password
* Secret Question and Answer
Show * Please enter the correct information
If you ignore this mail your account can and will be closed permanently.
If you wish to review our current Rules and Policies for World of Warcraft and Battle.net, they can be found at: http://us.blizzard.com/en-us/company/legal/wow_tou.html
For further security tips, please visit: http://us.battle.net/en/security/checklist
Regards,
Customer Services
Account Administration Team
Blizzard Entertainment
メールの送信者は 「Blizzard Entertainment」 となってるけど 偽装 です。

その内容はハッキング行為、チート行為、ボットを使った不正行為を確認したので規約違反だからアカウントを凍結した、というビックリ仰天の警告通知になっていて本文中の誘導リンクをうっかり踏ませる戦法です。

誘導先はフィッシング詐欺な偽Battle.net

誘導先は Blizzard Entertainment が提供するオンラインゲームプラットフォーム Battle.net の 偽ログインページ でした。

イメージ 2
パッと見で不自然と感じるのは不可能な偽ログインページ

ブラウザのアドレスバーを確認するとURLアドレスが明らかに違うことが分かるけで、イメージ画像は本物のサイトからパクって構築されてるのでデザインが完璧すぎて危なっかしいです。

ここでユーザー名とパスワードを入力して送信すると、大事なアカウント情報がサイバー犯罪者に盗まれてアカウントハック被害となるのでしょう。
 
オンラインゲーム Steam のアカウントハック攻撃もそうだけど、ショッピングサイトやネットバンキングと比較して ”たかかゲーム” 的な感覚でアカウントの管理がいい加減なゲーマーさんいる?
関連するブログ記事
タグ :
#ネットサービス
このエントリーをはてなブックマークに追加

↑このページのトップヘ