無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2015/10

三栄書房 日宣様宛請求書? 迷惑メールのWordファイルはマクロウイルス危険!
 
イメージ 1
 
実在する日本の出版社から送信されてきたかのよう偽装されていて、日本語で書かれた添付ファイル付き迷惑メール(スパムメール)が不特定多数にバラ撒かれました。
 
■ 冨田さんはTwitterを使っています: "【注意!】三栄書房の井上淳という人から「日宣様宛請求書をお送りします 」という請求書を添付したメールが。つづいて日東印刷の新井勇司という人から「タンケンー請求書(小)の件です。」という同様のメールが。どちらも実在の企業ですが、架空請求詐欺らしいのでご注意。"
https://twitter.com/TomitaKentaro/status/659894047356522496
 
■ HYPER REVさんはTwitterを使っています: "三栄書房を名乗る何者かがスパムメールをばら撒いています。写真のようなメールが来ても、添付ファイルは絶対に開かないでください。ウイルスのようです。ご迷惑をおかけしております。"
https://twitter.com/HyperRev_staff/status/659949781389737985
 
■ Sachiko HOTAKA 保高幸子さんはTwitterを使っています: "【注意】株式会社三栄書房 井上淳を騙る「請求書」スパムメール 私のとこにも来ました。開けちゃダメなやつです。お気をつけを"
https://twitter.com/greco_free/status/660024462457212928
 
■ 警視庁犯罪抑止対策本部さんはTwitterを使っています: "本日朝8時頃から、出版社を装ったウイルス付きメールが出回っていることを確認しました。ネットバンキングの情報などを抜き取られるおそれがあります。身に覚えのない請求書メールや不審な添付ファイルは絶対に開かないでください。"
https://twitter.com/MPD_yokushi/status/659886329585516544
 
■ DNA/こずえ/オリジン捕ピラニアさんはTwitterを使っています: "実在の会社名での請求書メールを装ったウイルス付きメールが出回っています。 発信元は全く関係ない外国鯖で、名前を使われた企業の方は憤慨でしょうなあ。 またこれで、どこかの勝手まとめが、乗っ取られただの社内のセキュリティ意識がどうのこうの言うんだろうか・・・・。"
https://twitter.com/kozueatukuuemii/status/659944266681053184
 
■ 尾崎さんはTwitterを使っています: "出版社や印刷会社を騙った請求書と書かれたdocファイル添付で宛先ミスの様なメールが続けて届いてる。実際に取引した会社の名称だとうっかり開いてしまいそうで怖い。"
https://twitter.com/ozaki_t/status/659887667669168128
 
■ 鬼騎さんはTwitterを使っています: "やばい。添付ファイルに請求書とかいいながらマクロが埋め込まれてるから怪しすぎると思って、マクロを無効にして開いたら中身からっぽ。いったいどんなあくどいマクロくまれてんの。みなさん、「宛請求書をお送りします」ってメールきをつけて"
https://twitter.com/kiki_onime/status/659938327492034560
 
■ 山下さんはTwitterを使っています: "おいおい。 メーラー開いたら、この時期に請求書を添付して送ってくる迷惑メールが届いていた。思わず開いたけど、ワードのマクロはオフにされてたから問題なかったようだけど。 実在する印刷会社の名前を使ってるし、結構悪質なものなのだろうか。"
https://twitter.com/k_oneyama/status/659901409857437696
 
ここ最近、継続した攻撃が確認されてる日本人を狙ったウイルスメールです。
 
恐らく、ウイルスに感染し遠隔操作されてるパソコンの束(ボットネット)を使って、メールは大量配信されてるんでしょう。

メールの添付ファイルはマクロウイルス

メールに添付されてるWord文書ファイル拡張子 *.doc)は、請求書でも何でもなく不正なマクロウイルスです。
 
このファイルを開くと Microsoft Word が起動して、デフォルトではマクロを有効化するか確認する警告が表示されます。
 
イメージ 2
Wordのプロセス下層にナゾの実行ファイル ostmeht1.exe
 
ここで仮にもユーザーが許可を出してしまえば、Windowsパソコンを狙ったネットバンキングウイルス「Shiz」「Shifu」の実行ファイル(拡張子 *.exe)を外部ネットワークからダウンロードしてきて感染です。
Word文書ファイル / マクロウイルス
2015-10-29-002903.doc
102911.doc

MD5 94602cf479f6e9a31d6330306997477b
www.virustotal.com/ja/file/03db14bb21ccb9d114c48593033158b169c14ddf58e8f377a963fdd1405ab5e5/analysis/1446162685/

MD5 8c7ebe8ba27a5f2bead330caf2a17b53
www.virustotal.com/ja/file/65cc6fd64b16c3badffe692bfa6cea624bed1fb3e9838a172b3b3fd353158c12/analysis/1446161437/

 ↓ Word起動後にユーザーがマクロを有効化してしまうと…

Windows向け実行ファイル
MD5 08cb860622b6354d40b9d1c7b6f063bc
www.virustotal.com/ja/file/1cb15161b63e1f878e0105c2fead7665919158d5b3b421babd5efe039a3d5a5e/analysis/1446162105/
攻撃のターゲットはWindowsパソコンだけで、Mac OSやスマホ(Android、iPhone)やガラケーらへんは動かないから影響無く大丈夫。
 
ウイルス検出名例
 
avast! Win32:Malware-gen
AVG PSW.Generic12.CIGV
Avira TR/Spy.Agent.232960.8
BitDefender Trojan.GenericKD.2836172
ESET Win32/Spy.Shiz.NCT VBA/TrojanDownloader.Agent.AGJ
K7 AntiVirus Riskware ( 0040eff71 )
 Kaspersky UDS:DangerousObject.Multi.Generic
 McAfee GenericR-EWL!08CB860622B6
Microsoft Trojan:Win32/Pariham.A TrojanDownloader:O97M/Adnel
Sophos Mal/Generic-S
 Symantec Infostealer.Shifu W97M.Downloader
Trend Micro TSPY_SHIZ.AG W2KM_SHIZ.YOQ
関連するブログ記事
このエントリーをはてなブックマークに追加

ホテルオークラ「One Harmonyシステム利用料の送付」迷惑メール PDF偽装ウイルス付き
 
日本のホテル運営会社として実在するホテルオークラに成りすまし、『【請求書】One Harmonyシステム利用料の送付』なる件名の添付ファイル付き迷惑メール(スパムメール)がバラ撒かれたそう。
 
■ もうさんはTwitterを使っています: "ホテルオークラから怪しいメールきたーーーー!!↓ One Harmony 事務局 【請求書】One Harmonyシステム利用料の送付 Yoshinori SARUTA/HOC sarutay@hotelokura[.]co.jp"
https://twitter.com/2cvmou/status/659205228860805120
 
■ Yasushi TauchiさんはTwitterを使っています: "今日はホテルオークラを語ったスパムメールかな。本文がない時点で、おかしい。 タイトル 【請求書】One Harmonyシステム利用料の送付 本文 なし(署名のみ) 添付ファイル zipファイル"
https://twitter.com/GoToYT/status/659161984735121408
 
■ くろぱぐライダーちょびさんはTwitterを使っています: "「One Harmonyシステム」なんて頭の悪い名前を付けるから速攻spam認定されるのであって、実在のクラウドサービス、○WSとかg○○gleとか、○zureとかの名前を出して、超過サービス料金請求書って書けば、結構大漁なんじゃ?"
https://twitter.com/chobichan/status/659209290184417285

■ マリンのぽんたろうさんはTwitterを使っています: "今日はホテルオークラのOne Harmony事務局というところを騙ってのウイルスメール到着→削除。最近多いですね。 ホテルオークラのHPに注意喚起が掲示されています。 皆さんもお気をつけて。"
https://twitter.com/marine_pontaroh/status/659240226292760576
 
ホテルの利用料金の請求書という名目の添付ファイルはZIP形式の圧縮ファイルということで、解凍するとWindows向け実行ファイル拡張子 *.exe)が登場!
 
イメージ 1
 
15030000138-0299.zip
 ↓ 解凍
15030000138-0299.pdf
.exe
 
MD5 f409a755b029c9d0b63da3d1bdd3152d
www.virustotal.com/ja/file/0aa7a754acee45bfa539fde89ce1eb9cedebbe3ebc3ef69cbcff1ec695b1af52/analysis/1445991327/
 
ユーザーをうまくダマすため、二重拡張子アイコン画像の偽装のトリックでPDF文書と誤認させて、ダブルクリックでウイルス感染してもらうのを狙ってます。 <今まで英語表記のウイルスメールで見られる鉄板手口!
 
イメージ 2
Windowsの設定で拡張子の表示が無効のままだと気づけない恐れ…
 
ちなみに、攻撃ターゲットはWindowsパソコンだけで、Mac OS Xやスマホ(Android、iPhone)やガラケーらへんは当然起動しようがないから影響なく大丈夫!

関連メモ

ウイルス検出名
 
 avast! Win32:Trojan-gen
 AVG Generic36.CIQI
Avira TR/Crypt.Xpack.308242
BitDefender Gen:Variant.Midie.3208
ESET Win32/Injector.CLHU
 K7 AntiVirus Trojan ( 004d54de1 ) 
Kaspersky Trojan-Dropper.Win32.Injector.noue
 McAfee  PWSZbot-FAOK!F409A755B029
 Microsoft Trojan:Win32/Zlader.A
Sophos Troj/Agent-APBA
 Symantec Infostealer.Limitail
Trend Micro WORM_ZLADER.A
 
マルウェアの C&Cサーバー の別フォルダには…!?
 
イメージ 3
Ponyの管理パネル向けログインページ
 
akexadyzyt[.]com exotelyxal[.]com ekozylazal[.]com
関連するブログ記事
このエントリーをはてなブックマークに追加

スクエニ迷惑メール「あなたの異常ID あなたの口座に保管」「ID確認 パスワード再設定用メール送付」フィッシング詐欺
 
だいぶ前からダラダラ継続中で終わる気配のないゲーム開発会社スクエア・エニックス(スクエニ)に成りすまして偽装した日本語表記の迷惑メール(スパムメール)
 
新しい文面が数日前から着弾する~。 <エエ加減しつこい!
件名 ドラゴンクエストX-覚醒五つの種族オンライン、あなたの異常ID、あなたの口座に保管してください
件名 [スクウェア.エニックスアカウント]ID確認、パスワード再設定用メール送付のお知らせ

 
スクウェア?エニックスアカウント管理システム
 
http://account.square-enix.com/
 
本メールにお心当たりのない場合は、お手数ですが本メールの破棄をお願いいたします。
 
スクウェア?エニックスアカウント管理システムをご利用いただき、ありがとうございます。
 
本メールは、スクウェア?エニックスIDの確認および、パスワード再設定に必要なURLをお送りするために自動送信されています。
 
このメールアドレスが登録されているスクウェア?エニックスIDは以下のとおりです。
 
スクウェア?エニックスパスワードがご不明な場合は、パスワードを再設定する必要があります。
 
以下のURLをクリックし、画面の案内にそってパスワードの再設定を行ってください。PCのメールアドレス、スマートフォン(iPhoneなど)をお使いの方はこちら。
 
https://secure.square-enix.com/account/app/svc/updatePwd?id= ~
 
携帯電話をお使いの方はこちら。
 
https://m.secure.square-enix.com/updatepwd.php?id= ~
 
※スクウェア?エニックスIDのみが不明な場合は、パスワードの再設定は不要です。
 
※上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください。
 
※上記URLは、送信より2時間経過すると無効になりますので、有効期間内にURLをクリックしてパスワードの再設定を完了させてください。
 
製品?サービスに関するサポート情報はこちらまでスクウェア?エニックス サポートセンター
 
http://support.jp.square-enix.com/
 
※上記サイトでは、各種検索機能を利用して、製品やサービスのサポート情報を確認できます。
 
ご意見やご要望などもスクウェア?エニックスサポートセンターをご利用ください。
件名の日本語はヘンだけど、本文の方はパスワードリセット時に実際にスクエア・エニックスから送信されてくる本物のメールの文章をそのまま流用してる?
 
日本人のメルアド宛に無差別でバラ撒いてるだろうから、『スクウェア?エニックスIDは以下のとおりです』とあっても、そのIDの情報に触れることなくスルー。

誘導先はフィッシング詐欺狙いの不正な偽ログインページ

4ヶ所のURLアドレスが誘導用リンクになってて、表面上は正規の「square-enix.com」を示してます。
 
ただ、このメールはHTML形式なので実際の誘導先は不正なページです。
 
イメージ 1
「ドラゴンクエストX 目覚めし冒険者の広場」
 
http://secure.square-enii.hirob[.]xyz/account/app/svc/login.html
http://secure.squarr.enix[.]top/account/app/svc/login.html
http://secure.squarr.enxi[.]xyz/account/app/svc/login.html
 
オンラインゲームのドラクエXのアカウントを狙って、スクエニのユーザーIDやパスワードを送信させて盗みとるフィッシング詐欺サイトです。
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ