無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2015/12

✏️ Firefly

<迷惑メール>イオン銀行大切なお知らせ本人認証サービス詐欺フィッシング

イメージ 2

日本の銀行 オンラインゲームの開発会社 に成りすます攻撃者が、今度は イオン銀行 を勝手に名乗って成りすます日本語表記の 迷惑メール(スパムメール) を無差別にバラ撒く~。

件名 イオン銀行本人認証サービス / 本人認証サービス / イオン銀行より大切なお知らせです / 重要なお知らせ
送信者 【イオン銀行】 <ib@aeonbank.co.jp>
こんにちは!
(2015年*月*日更新)「イオン銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。
以下のページより登録を続けてください。
https://ib.aeonbank.co.jp/0040/B/B/B/C100/KBC11BN000B000.do
Copyright 2007-2015 AEON Bank,Ltd. All rights reserved.

元気に挨拶『こんにちは!』の出落ちシリーズです。 <もう見飽きたヨ…

誘導先はイオン銀行のフィッシング詐欺サイト

メール本文中のURLアドレスをポチッと踏ませてユーザーを誘導させる先は、イオン銀行のログインページを装った不正な場所です。

イメージ 1
偽サイト 『ログイン | イオン銀行ダイレクト』
 
【イオン銀行フィッシングサイト URL 例】
http://ib.aeonbank.co.jp.axae[.]gift/0040/B/B/B/C100/KBC11BN000B000.htm
http://ib.aeonbank.co.jp.irrv[.]date/0040/B/B/B/C100/KBC11BN000B000.htm
http://ib.aeonbank.co.jp.tksrs[.]link/0040/B/B/B/C100/KBC11BN000B000.htm
http://ib.aeonbank.co.jp.irsk[.]sexy/0040/B/B/B/C100/KBC11BN000B000.htm

契約者 ID とパスワードの入力フォームが用意されていて、イオン銀行の公式サイトから画像とかデザインごとパクって見た目の偽装はカンペキだけど、ブラウザのURLアドレス部分に注意を払いましょ~! 

関連するブログ記事

タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

✏️ Firefly

scan01 doc jpeg IMG JPGファイルでウイルス感染 迷惑メール手口と対策

イメージ 3

Twitter で不審なメール着弾の報告がたくさん!

かなり短い日本語の一言メッセージを含んだ怪しい 迷惑メール(スパムメール) が無差別にバラ撒かれてます。

■ 自宅パソコンのメールに件名「MMS photo」で、添付に「IMG_0083251_JPG.zip(145kb)」の圧縮ファイルが付いたものが来ました。差出人アドレスは、~@softbank.ne.jp となっています。メール本文には、「フォト」の3文字だけ。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12153686747

■ tssさんはTwitterを使っています: "IMG_xxxxxxx_JPG.zip、中身は IMG_xxxxxxx_JPG.jpeg.exe というファイル(x = 1桁の数字)を添付したメールがどかどか届きますよ。。。。" "タイトルは MMS photo とか scan とか photo とかですが、中身は一行の日本語(返事が欲しいとか写真ですとか)ですよ。。。。From: は i.softbank.jp  や yahoo.co.jp  に偽装されています。"
https://twitter.com/tss_0101/status/677093057901101056

なお、昨日21日にも同じような体裁で、日本語の怪しい 迷惑メール(スパムメール) が無差別にバラ撒かれてますな。

■ スロ★レッドさんはTwitterを使っています: "またなんかのウイルス入りメール? 「invoice 返事、待ってます」"
https://twitter.com/slo_red/status/678984955142078465
 
■ 祐翔さんはTwitterを使っています: "某プロバイダのアドレス宛に scan01_doc_2015~jpeg.zipなる怪しいファイル付きのメールが。実際は知らんけど、Fromはソフトバンクのアドレス。中には胡散臭い.exeファイル入り。トロイか何かか?"
https://twitter.com/yousyo/status/678876447482580992

■ OtsukaさんはTwitterを使っています: "いかにもマルウェアなメールが届いてた 「【完成図・成績表】」"
https://twitter.com/otk/status/678954897610436608

■ おさかな たろうさんはTwitterを使っています: "昨日届いた惜しいSPAM。本文が「【完成図・成績表】」のみでexcel添付。Subjectが「invoice」。これが、Subjectが「【完成図・成績表】」で本文が「確認お願いします」だったら危険だったw"
https://twitter.com/osakanataro/status/679207780427808768

■ たらりらさんはTwitterを使っています: "世話してねぇし! という感じな今日妙に流れてきてるメール添付ウイルス。Windows標準搭載の防壁も華麗にスルーでまだ対応してるのが少ないっぽい。"
https://twitter.com/xvi2501/status/678870549557198852

■ 宮原さんはTwitterを使っています: "「お世話になっております」と一言だけ本文に書いてあるメールを受け取った。添付ファイルがある。zipファイルだ。ファイル名にはjpegとか入ってる。表題は「image」とだけ。これは開きたくなる。けど我慢して開かずにSPAM指定した。絶対ウィルスに決まっている。"
https://twitter.com/miyaharar/status/678871223850303488

■ annexiaさんはTwitterを使っています: "ここ数日、英文でzip書類のついたスパムメールが多く届いていたんだけど、ついに日本語化されたものが届き始めた.zipは解凍するとexeファイルが入っているのだけど、Norton AntiVirusではウィルス検出されず."
https://twitter.com/annexia/status/678857837200605185


メールの添付ファイルは? 危険ウイルス!

この迷惑メールには添付ファイルがあるけど具体的に何?

誰かさんの写った写真かな~?

そう思わせようと、JPEG 形式の画像ファイルが含まれてるかのよう装った圧縮アーカイブ 「scan01_doc_2015~jpeg.zip」 でした。


圧縮ファイルの中身は実行ファイル

圧縮されたままでは意味ないので、手元で展開・解凍する作業を行い、その中身を確認してみると…。

何かヤバそうな Windows 向け実行ファイル(拡張子 .exe)の登場です。

イメージ 2
アイコンはFAX機器?

この実行ファイル .exe の正体は、何を隠そうコンピュータウイルスそのまんまであり、Windows 上でユーザーさんが何となくポチポチッとダブルクリックして開いたら終了です。 <感染! 感染! 感染!

【ウイルスメール 典型的な攻撃手口の流れ】
添付ファイル付きの迷惑メールを受信する
scan01_doc_2015~jpeg.zip
 ↓ 展開・解凍する

doc_01_2015_12_21.DOC.exe
 ↓ ダブルクリックする

感染アウトーーー!

それこそ、次のようなシチュエーションで即ウイルス感染とかでは決してないから、勘違いしませぬように。  

 ウイルスメールを受信してメッセージを読んだだけ
 メールソフトのプレビュー表示でメッセージが表示されただけ

つまり、ウイルス対策と称して巷で目にする 『メールソフトのプレビュー機能を無効化しておきましょう』 とか、ハッキリ言って意味ない行為です。 <むしろウイルスメール対策は完璧バッチリとか誤解する危険性も


スマホはウイルス感染大丈夫?

.exe ファイルは Windows XP/Vista/7/8 環境でしか動作しませんので、スマホはいっさい関係のないウイルスメールであり大丈夫です。

 Mac OS X
 Android スマホ
 iOS (iPhone/iPad)
 ガラケー

セキュリティソフトの対応状況は… ヤバい

Twitter での声にも挙がっているけど、セキュリティソフトのウイルス定義データによる白黒判定の対応状況はどうでしょうか。

ありゃ~、亜種検体かい。

751fcf8b44d307072d4d42ed1b12053e
www.virustotal.com/ja/file/15896a44319d18f8486561b078146c30a0ce1cd7e6038f6d614324a39dfc6c28/analysis/1450683502/

攻撃者もちゃんと 脳ミソを持った人間 です。

ウイルス感染攻撃を成功裏に収めるため、その妨害をしてくるセキュリティ会社を出し抜いて、セキュリティ会社は ”後出しジャンケン” です。


Shiotob / Bebloh ウイルス

これは別に新種でもなく、Shiotob とか Bebloh と呼ばれてる脅威です。

マイクロソフトによると、Windows PC の感染端末から重要な情報を盗むスパイウェアという分類であり、2011年あたりからメールの添付ファイルとして送信されてくる手口が海外で確認されているそう。

  • Shiotob(読み方 シオトブ) … TrojanSpy:Win32/Shiotob
     または
  • Bebloh(読み方 ベブロー)


ウイルスメールの被害回避に役立ってる 《言語の壁》 がガラガラ崩れて、日本人を狙った日本語の迷惑メール/ウイルスメールが来ちゃったゾ、ヤベー。

ウイルス対策は? 拡張子の知識で対抗

不審なファイルを開くな!』 なんて言われるけど、そもそも知識を持たないユーザーさんに ”不審” かどうか判断すること自体がムリっしょ。

そこで、ファイルの拡張子の知識で攻撃者に徹底対抗しましょう。


関連するブログ記事
タグ :
#Windows
このエントリーをはてなブックマークに追加

✏️ Firefly

CryptoWall 4.0ウイルス感染 ファイル名も破壊HELP_YOUR_FILES.PNG
 
とあるjpドメインな音楽系の企業サイト(楽器製造販売)がハッキング被害を受けてるようで、ページに不正なコードが挿入されてることを確認しました。
 
さっそく、定番のウイルス感染経路である Adobe Flash Player を故意に旧バージョンにしておいて突撃アクセスしてみましたー。 更新の放置は激ヤバい!
 
イメージ 1
HTMLソースコードを確認すると難読化が施されたJavaScriptコードが
(コード量がクソ大きく19KBほどある)
 
結果として、何ら確認なくWindowsパソコンの中に勝手に侵入してきて居座ってるナゾの実行ファイル(拡張子 *.exe)がコチラです! <Mac OS や Android/iPhoneスマホ は動作対象外で無関係~
 
イメージ 2
C:\Users\[ユーザー名]\AppData\Roaming\[英数字10文字]\[英数字10文字].exe 

CryptoWall 4.0 が強制インストールされた!

この正体はランサムウェア(身代金型ウイルス)の1つである CryptoWall 4.0 と呼ばれてるブツです。 <Windowsパソコンがターゲット!
 
CryptoWall 4.0 は文書ファイルや画像ファイルなどを暗号化して破壊して開けなくして、復元・復号させて元に戻すツールの購入を迫るコンピュータウイルスです。
 
イメージ 5
破壊される前のJPEG画像ファイルたち
 
↓ ↓ ↓ ↓ ↓
 
イメージ 4
CryptoWall感染後の状態はファイル名や拡張子までメチャクチャ!
 
ファイル名や拡張子の文字列すらランダム生成で破壊され、もはやオリジナルのファイルが何なのかサッパリサッパリ状態の地獄絵図…。
 
デスクトップや各フォルダに画像ファイル HELP_YOUR_FILES.PNGHELP_YOUR_FILES.HTML が新規作成され、英語でファイルを暗号化して身代金の支払いを要求する内容になってました。
 
イメージ 3
HELP YOUR FILES !? 英語で身代金を支払うよう要求
 
CryptoWall 4.0ウイルスの被害を喰らったと思われるユーザーさんのお話です。
 
■ shishimaruさんはTwitterを使っています: "非表示の"ProgramData"下のサブフォルダに大量の "HELP_YOUR_FILES.PNG" が格納されていたので、すべてロック解除して削除した。今のところ、画像のオリジナルが見つかっていないので、イタチごっこをしているが、OSの再インストールがベストな対策だ。"
https://twitter.com/flash32e/status/676319175720079361

■ 未だに、Windows XPを使用していまして、先日、取り返しのつかない事になりました。 友人にPCを使用させたあと、ウイルス感染したのか、大げさに言えば財産にもなる何年も撮りためた画像ファイルが意味不明なファイルに変換されていて、…
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14153177519

■ HELP_YOUR_FILESというウイルスに感染したようです、自前の画像や文書の名前が書き換えられて見れなくなりました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14153675134
 
ちなみに、種類が異なるランサムウェア
 
 
の2つを混同して紹介する日本語ブログを結構多く見かけるのでチョットご注意ください。 <違いはランサムウェアの紹介ページどぞ

ランサムウェアの感染経路は?

CryptoWall を始めとするランサムウェア(身代金型ウイルス)の感染経路は、主に2パターンあることが分かってます。
 
イメージ 6
[ 画像出典 Microsoft Malware Protection Center より]
 
~ マイクロソフトのウイルス検出名 ~
Win32/Crowti → CryptoWall のこと
Win32/Tescrypt → TeslaCrypt(vvvウイルス) のこと
 
左側 … メールの添付ファイルをユーザーが開いて自爆感染する
右側 … ネットサーフィン中に強制インストールされる
 
この記事では右側ルートを喰らった形の感染パターンで、その起点(感染源)となるのはユーザーごとにバラバラだけど↓らへんのはず。
  • ハッキング被害を受けてる一般サイトやブログをたまたま閲覧した時
  • 侵害された広告配信サーバーが運悪く裏で読み込まれた瞬間
怪しいサイトにアクセスしない♪』なんて対策が通用すると思ってませんか?
Google のセーフ ブラウジング テクノロジーは、1 日に数十億件の URL を調査して、安全ではないウェブサイトを探します。1 日に安全ではないウェブサイトが新たに数千件も見つかります。そのうちの多くは、正当なウェブサイトが不正使用されたものです。
https://www.google.com/transparencyreport/safebrowsing/?hl=ja
そういう考えは現実に起こってる脅威と実態がズレてるので、被害に巻き込まれない対策としてウイルス感染経路をふさぐ作業↓を必ず実施しておきましょ。
関連するブログ記事
タグ :
#Windows
このエントリーをはてなブックマークに追加

↑このページのトップヘ