📅 2015/04/21 | ✏️ Firefly

セブン銀行迷惑メール本人認証ｻｰﾋﾞｽ/ﾒｰﾙｱﾄﾞﾚｽの確認でフィッシング詐欺誘導

セブン銀行迷惑メール本人認証ｻｰﾋﾞｽ/ﾒｰﾙｱﾄﾞﾚｽの確認でフィッシング詐欺誘導

三菱東京UFJ銀行の偽サイトへ誘導する迷惑メール（スパムメール）を不特定多数にバラ撒いてる海外のグループが、新たな成りすまし対象としてセブン銀行をターゲットにっ！

＜挨拶の『こんにちは！』で出落ちｗｗｗｗｗ

件名【セブン銀行】本人認証サービス
件名【セブン銀行】メールアドレスの確認

こんにちは！
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「セブン銀行」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https：//ib.sevenbank.co.jp/IB/IB_U_CO_002/IB_U_CO_002_100.aspx

――Copyright(C)2015 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――
　↓
――CopyrighkTcVVivVoWe895VMiPZZUBNmBLFkQvat (c) Seven Bank,Ltd. kTcVVivVoWe312VMiPZZUBNmBLFkQvaAll Rights Reserved――

三菱東京UFJ銀行向け偽メールの文面を使い回してるのか、最下部の著作権（フッター）のところは「The Bank of Tokyo-Mitsubishi UFJ」になってて、どーも修正し忘れてるっぽい。

＜4月28日追記始め＞

「Seven Bank,Ltd」と正しく(？)修正された偽メール届くようになりました。

誘導先はセブン銀行の偽ログオンページ

メール本文中のURLアドレスをポチッとクリックすると、ハッキングされた正規サーバー（”リダイレクター”とか”踏み台”と言います）を経由して、不正なページへ転送されるようになってます。

偽メール
　↓
http:// www.sinospace[.]net/js/
http:// www.cherrymine[.]com/js/
http:// 024418[.]com/js/
http:// stnhy[.]com/images/
http:// www.rznfood[.]cn/pk/index.htm
http:// www.anxhb[.]com/images/
http:// resonans-advies[.]nl/pk/
http:// nctycm[.]com/js/
　↓
http:// ib.sevenbank.co.jp.iaw[.]cn.com/IB/IB_U_CO_002/IB_U_CO_002_100.htm
http:// ib.sevenbank.co.jp.rxc[.]cn.com/IB/IB_U_CO_002/IB_U_CO_002_100.htm
http:// ib.sevenbank.co.jp.okn[.]cn.com/IB/IB_U_CO_002/IB_U_CO_002_100.htm
http:// ib.sevenbank.co.jp.nko[.]cn.com/IB/IB_U_CO_002/IB_U_CO_002_100.htm
http:// ib.sevenbank.co.jp.kws[.]cn.com/IB/IB_U_CO_002/IB_U_CO_002_100.htm

セブン銀行ダイレクトバンキング偽ログオンページ

不正なページは、本物のセブン銀行から画像とかデザイン丸コピーして構築されてるフィッシング詐欺サイトです。

＜ブラウザのURLアドレスに超注目！

見た目でユーザーをダマし、ネットバンキングのIDやパスワードを入力させ送信してもらって盗み取る狙いがあります。

■ セブン銀行を名乗りダイレクトバンキングサービスでのお取引きに必要な暗証番号等をだまし取るEメールにご注意ください。 （セブン銀行）
http://www.sevenbank.co.jp/support/info_email.html

■ セブン銀行をかたるフィッシング (2015/04/21) （フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/sevenbank20150421.html

ゾンビウイルスWERDLOD!? 添付ファイル付き迷惑メールとエメンタル作戦

ゾンビウイルスWERDLOD!? 添付ファイル付き迷惑メールとエメンタル作戦

{{{ 2015年9月更新 }}}

スウェーデン語「領収書を表示するには画像をダブルクリックしてください」
RTFファイルに埋め込まれたマルウェアの手口

地理的には欧州のスイス、オーストリア、スウェーデン、ドイツ、そして日本を狙ってネットバンキングやポータルサイトの情報を狙う一連の攻撃…

Trend Micro
→ Operation Emmental エメンタル作戦（エメンタール作戦）／ TROJ_WERDLOD

Microsoftなど → Retefe Trojan:Win32/Retefe TrojanDownloader:Win32/Retefe

Symantec → Trojan.Retefe Downloader.Tenirem

IBM → Tsukuba

攻撃の入り口はウイルスメール！添付ファイルの例

● メール添付 .RTF → 埋め込み .COM
○ メール添付 .RTF／.DOC → 埋め込み .CPL .EXE
● メール添付 ZIP → .EXE
○ メール添付 .JS

※ 赤文字は日本のユーザーを狙った攻撃で確認された手口

基本的にWindowsパソコンがターゲットで、加えて日本以外の地域だとAndroidスマートフォンも対象になった事例が過去にあるっぽい？ちなみに、Mac OS、iOSスマートフォン、ガラケーなんかは攻撃対象外！

攻撃に関連する記事をピックアップ

《2014年2月》

■ A close look at a targeted attack delivery - Microsoft Malware Protection Center
http://blogs.technet.com/b/mmpc/archive/2014/02/27/a-close-look-at-a-targeted-attack-delivery.aspx

■ Trojan:Win32/Retefe.A TrojanDownloader:Win32/Retefe - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Retefe

《2014年3月》

■ CSIS: ZeuS campaign camouflaged as RTF
https://www.csis.dk/en/csis/blog/4159/

《2014年6月》

■ Win32/TrojanDownloader.Agent.AQH | ESET
http://www.virusradar.com/en/Win32_TrojanDownloader.Agent.AQH/description

《2014年7月》

■ Retefe Bankentrojaner | SWITCH Security-Blog
http://securityblog.switch.ch/2014/07/22/retefe-bankentrojaner/

■ Finding Holes in Banking Security: Operation Emmental - Trend Micro
http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operation-emmental/

《2014年8月》

■ 2014年7月のウイルス脅威 7月のその他の脅威 Trojan Retefe - Dr.Web
http://news.drweb.co.jp/?i=765

《2014年9月》

■ 金融機関を狙うサイバー攻撃　「エメンタル作戦」の脅威 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/9669

《2014年10月》

■ CSIS: Retefe sets sails for Japan

https://www.csis.dk/en/csis/blog/4473/

《2014年11月》

■ Retefe with a new twist | SWITCH Security-Blog
http://securityblog.switch.ch/2014/11/05/retefe-with-a-new-twist/

《2014年12月》

■ 楽天市場を名乗る迷惑メール請求書と称するウイルス危険！ RTFファイル
https://blogs.yahoo.co.jp/fireflyframer/33151033.html

■ 12月8日から急増の請求書偽装スパム、主な狙いは国内銀行15行の認証情報か？ | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/10558

《2015年2月》

■ 楽天市場ウイルス付き迷惑メール「2015/02/10日付ご注文」偽請求書RTFにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33271696.html
https://blogs.yahoo.co.jp/fireflyframer/33275813.html

■ Trojan:Win32/Zapis.A - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Zapis

《2015年3月》

■ Tsukuba: Banking Trojan Phishing in Japanese Waters - IBM Security Intelligence
http://securityintelligence.com/tsukuba-banking-trojan-phishing-in-japanese-waters

《2015年4月》

■ 日本を標的とする新たなオンライン銀行詐欺ツール「WERDLOD」の手口を解説 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/11258

■ TROJ_WERDLOD: Another Banking Trojan Targets Japan - Trend Micro
http://blog.trendmicro.com/trendlabs-security-intelligence/troj_werdlod-new-banking-trojan-targets-japan/

《2015年5月》

■ e-Banking Trojan Retefe still spreading in Switzerland - GovCERT.ch
http://www.govcert.admin.ch/blog/5/e-banking-trojan-retefe-still-spreading-in-switzerland

■ The Circle Around Retefe - CARO Workshop 2015
http://2015.caro.org/presentations/

《2015年6月》

■ 楽天市場迷惑メール「2015/25/06日付ご注文」ウイルス感染攻撃
https://blogs.yahoo.co.jp/fireflyframer/33540245.html

《2015年8月》

■ 2015/08/17日付ご注文楽天市場偽装ウイルス付き迷惑メールにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33635828.html

■ Retefe Banking Trojan Targets Sweden, Switzerland and Japan - Palo Alto Networks
http://researchcenter.paloaltonetworks.com/2015/08/retefe-banking-trojan-targets-sweden-switzerland-and-japan/
https://www.paloaltonetworks.jp/company/in-the-news/2015/retefe-banking-trojan-targets-sweden-switzerland-and-japan.html

■ TrojanDownloader:Win32/Tonnejoom.A TrojanDownloader:Win32/Tonnejoom!rfn - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Tonnejoom.A

《2015年9月》

■ Amazon.co.jpご注文の確認ウイルス付き迷惑メールにご注意を
https://blogs.yahoo.co.jp/fireflyframer/33667446.html

ブラウザのプロキシ設定の改ざん確認方法

ブラウザのプロキシ設定が改ざんされ、攻撃者が用意した自動構成スクリプト のURLアドレスが指定されるっぽく。

proxy.pac akamaihd.js akamaiproxy.js akamaijp.js
a2tunnel.js a2stunnel.js iutirutviucric.js 3desonnel.js securevpn.js

Internet Explorer （Google Chrome も兼務）

Proxy Auto-Config（PAC）ウィンドウ

【1】 Internet Explorer ブラウザのインターネットオプションを開く

【2】 [接続]タブの [LAN の設定(L)]ボタンをポチッとな

【3】知らないうちに [自動構成スクリプトを使用する(S)] にチェックマークが入っていて、[アドレス(R)] の入力ボックスに不審な海外のURLアドレスが反映されてないか確認する

Mozilla Firefox

インターネットに接続に使用するプロキシの設定

【1】Firefox ブラウザのオプションを開く

【2】[詳細]タブの「接続」項目にある [接続設定(E)...] ボタンをポチッとな

【3】知らないうちに [自動プロキシ設定スクリプト URL(A)] にチェックマークが入っていて、入力ボックスに不審な海外のURLアドレスが反映されてないか確認する

セキュリティソフト人気ランキングと機能比較

＜2015年5月追記...＞

このウイルス感染攻撃を指してる記事が産経新聞から！

ただ、記事が具体的な情報に欠けるイマイチな内容となってるため、ユーザーにはモヤモヤな不安と恐怖を与えるだけ？

＜ゾンビウイルスって…

■ ネットバンキング利用者を狙う〝ゾンビウイルス〟…国内６６６件のサイバー攻撃を確認（1/2ページ） - 産経WEST
http://www.sankei.com/west/news/150503/wst1505030024-n1.html

記事の中にトレンドマイクロが出てくるけど、この攻撃についての15ページぐらいの調査レポート『Finding Holes: Operation Emmental』を読んでも、「ゾンビ」（Zombie）といった表現は登場しません。

・産経報道のゾンビ型ウイルスとは？確認方法、駆除、感染対策

★ 忘備録メモメモ～

◇ 共通？ ⇒ Facebook、GMX、Google、Gmail、Microsoft、Yahoo! inc.
◇ オーストリア？ ⇒ UniCredit Bank Austria、Raiffeisen
◇ 日本 ⇒ 三菱東京UFJ銀行、みずほ銀行、横浜銀行、千葉銀行、十六銀行、八十二銀行、中国銀行、ゆうちょ銀行、阿波銀行、第四銀行、北國銀行、武蔵野銀行、山形銀行、宮崎銀行、三井住友銀行、ジャパンネット銀行、楽天銀行、tracer.jp（？）

タグ：: #Windows

📅 2015/04/16 | ✏️ Firefly

緊急通知本人認証サービス迷惑メールで三菱東京UFJ銀行フィッシング詐欺

緊急通知本人認証サービス迷惑メールで三菱東京UFJ銀行フィッシング詐欺

三菱東京UFJ銀行を勝手に名乗る日本語表記の迷惑メール（スパムメール）がここ数日に不特定多数にバラ撒かれたみたいで。。。

件名緊急通知
件名本人認証サービス
件名【三菱東京ＵＦＪ銀行】メールアドレスの確認
件名メールアドレスの確認

こんにちは！
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https：//entry11_bk_mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

――Copyright(C)2015 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――

件名緊急通知

こんにちは！

（平成27年*月*日更新）「三菱東京UFJ銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。

以下のページより登録を続けてください。

https：//entry11_bk_mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

――Copyright(C)2015 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――

メールの誘導先はリダイレクターのページとなってて、ここはハッキング被害を受けてるっぽい中国の正規サーバーが使われてます。

偽メール
　↓
http:// ad0719[.]com/js/
http:// www.quanxicaotang[.]com/css/
http:// www.itleader[.]com.cn/js/
http:// www.jzrqzz[.]com/js/
http:// www.xmditan[.]com/js/
http:// www.hzcfsy[.]com/js/
http:// www.length[.]com.cn/js/
http:// www.crownone[.]com/js/i/
http:// www.hht[.]cc/js/
http:// www.gejun[.]com.cn/css/
http:// www.dageyijia[.]com/js/i/
http:// www.shcbmp[.]com/js/i/
　↓
http:// bk.mufg.jp.eia[.]cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.tak[.]cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.zat[.]cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.aru[.]cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.rin[.]cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.ncc[.]cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.cze[.]cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001

んで、転送された先はイギリスのドメイン販売会社が提供してるサブドメイン（cn.com）で稼働してるフィッシング詐欺ページです。

三菱東京UFJ銀行の偽ログインページ！ URLアドレスを確認せよ！

以前からそうだけども、見た目でユーザーをダマすため、三菱東京UFJ銀行の公式サイトからデザインや画像をそのままパクってきて偽装されてます。

■ 三菱東京UFJ銀行をかたるフィッシング (2015/04/15) フィッシング対策協議会
https://www.antiphishing.jp/news/alert/mufg20150415.html

■ 【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください！| 三菱東京ＵＦＪ銀行
http://www.bk.mufg.jp/info/phishing/20131118.html

三菱東京UFJ銀行のフィッシング詐欺ページがかつて稼働してた不正なサーバーの話も昨日ニュースになってました。

■ 盗んだ大手銀ＩＤ３０件、押収サーバーから発見 : ＩＴ＆メディア （読売新聞）
http://www.yomiuri.co.jp/it/20150415-OYT1T50066.html

■ 代理サーバー:大手銀装い誘導か　フィッシングサイト発見 （毎日新聞）
http://mainichi.jp/select/news/20150415k0000e040222000c.html

・

タグ：: #ネットサービス