無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/04

| ✏️ Firefly

【謎】Hi how are youだけの迷惑メール 送信アドレス確認目的か?

イメージ 2

メール本文にくだらない宣伝メッセージや誘導 URL が記載されてるワケでもなく、ウイルス疑いの怪しい添付ファイル が付いてることもなし。

そんな短い挨拶をしてくる英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 <謎すぎて怪しい?

件名 hi
Hi [メールアドレスの一部] how are you?

このフレーズは、中学校や小学校高学年あたりに英語を初めて習う時のお馴染みの表現なので、日本語の意味を説明するまでもないでしょう

こんにちは。お元気ですか?

見に覚えのない人物からのメール…。

中には 「間違いメール」 と思いんで、相手にわざわざ 『あんた、いったいドコのダレ?』 と聞き返してしまう (返信メールを送る) のは、逆に危険ですよぅ。


迷惑メールのヘッダーは?

ちなみに、このメールのヘッダーを確認してみると、メールマガジンなど配信を停止したい時の購読解除用パラメータ「List-Unsubscribe」に URL が記載されてました。

イメージ 1
「https://[様々なドメイン名]/app/optOut/noConfirm/」

このURLアドレスを踏ませるのが狙いかと思ったけど、手元でアクセスしてみてもまったく機能してませんでした。

メールアドレスが生きてるか調べてる?

考えられる目的は?

たとえば、メールアドレスが有効か無効か調査して、迷惑メール(スパムメール)の送信先リストを整理 してる可能性が考えられます。

メールアドレスのリストは新鮮なものが価値あるし。

  • あて先不明でメールが返送されてきた
    → メールアドレスは無効になっていて送信先として使い物にならない
     
  • メール送信後に何も反応がなかった
    → メールアドレスの利用者が存在して今後もメール送信先として有効


Amazon.co.jp | 通販 - ファッション、家電から食品まで【通常配送無料】
 

Yahoo!ショッピング - Tポイントが貯まる!使える!ネット通販

メールを送信した時、あて先のメールアドレスを受信してるユーザーが存在しない場合、『宛先不明でメールは送信できませんでした』 というエラーメールが返信されてくる仕組みを悪用してるワケですす。

関連するブログ記事
タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

| ✏️ Firefly

Flash Player 21.0.0.213リリース 脆弱性修正でウイルス対策に更新必須♪
 
Windowsパソコンを攻撃ターゲットに、旧バージョンがウイルス感染経路の1つとして悪用されてる無料ブラウザアドオン Adobe Flash Player の最新バージョンがリリース♪
 
バージョン 21.0.0.213
 
Security updates available for Adobe Flash Player APSB16-10 Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb16-10.html
 
合計23件の脆弱性の対処が行われ、この中の1件(CVE-2016-1019)については先週らへんから悪用する攻撃がすでに始まってたとか。
 
Flashのゼロデイ脆弱性「CVE-2016-1019」、既にランサムウェア拡散での利用を確認 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/13185
 
Malware don't need Coffee: CVE-2016-1019 (Flash up to 21.0.0.182/187) and Exploit Kits
http://malware.dontneedcoffee.com/2016/04/cve-2016-1019-flash-up-to-2100182187.html?m=1
 
ただ、この攻撃の影響をモロに受けたのは旧バージョンとなる バージョン20系 で、先月2016年3月にセキュリティアップデートで提供されてた バージョン21系 では悪用されなかったったみたいで。
 
 
脆弱性自体はゼロデイだったけど、それを悪用した攻撃はゼロデイじゃなしと。 <最新版にちゃんと更新してたユーザーさんはセーフ!
関連するブログ記事
タグ :
#フリーソフト
このエントリーをはてなブックマークに追加

| ✏️ Firefly

ランサムウェア感染迷惑メール 新しい請求書/あなたのパッケージ配信が危険!

イメージ 5
Image いらすとや

4月6日朝から ”日本郵便” を勝手に名乗って荷物の配達通知を装った日本語表記のウイルス付き 迷惑メール(スパムメール) が不特定多数に配信されてます。
件名 (なし)
おはようございます!私たちはあなたのパッケージを配信することはできません、添付ファイルのあなたの住所を確認してください。 ありがとうございました!
件名 JP _[数字]-[数字]
追跡番号[数字]を使用して新しいJapanPost請求書
件名 (なし)
私たちはあなたの小包を届けることができない、添付ファイルにあなたの住所を確認してください
件名 あなたは、新しい請求書[数字]を持っています
件名 (なし)
こんにちは!添付ファイルになたの配信アドレスを確認してださい!
{EMS-日本郵便
違和感のある変な日本語の文章は ”言語の壁” のおかげだけど、機械翻訳にしても 『添付ファイルになたの』『確認してださい』 といった一部の文字が欠損する状況はなぜに起こるんでしょうか?

メールの添付ファイルは拡張子.js

メールの添付ファイルは zip形式の圧縮アーカイブ となってて、解凍・展開すると中身は JavaScript ファイル / JScript Script ファイル拡張子 .js) でした。

イメージ 1
zipファイルの中身は~.jsファイル

これは Windowsユーザー にダブルクリックして踏ませる攻撃手口となり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は攻撃対象外なので大丈夫です。

【メールの添付ファイル】
追跡番号_[数字].zip
追跡番号_[英文字].zip
 ↓ ユーザーが手動で解凍・展開する

tzct_4455887213100_JAPANPOST.js … 文字化け
追跡番号_4455887213100_JAPANPOST.js
tzct_4455887213100_JAPANPOST (2).js … 文字化け
追跡番号_4455887213100_JAPANPOST (2).js
 
このjsファイルは外部ネットワークから Windows向け実行ファイル(拡張子 .exe) をダウンロードしてきて起動する役目を担っていて、荷物の配送通知文書では決してありません!

【実行ファイルの詳細】
MD5 5d543cb856073fc4ca3d7839a049d5b5
www.virustotal.com/en/file/9855657eb9924057ee85a3265f929fbaa917e913baeb8f6eb41071e7a09c2d27/analysis/1459897759/

ESET Win32/Filecoder.ED
Kaspersky Trojan.Win32.Fsysna.dara
Microsoft Ransom:Win32/Troldesh
Symantec Trojan.Ransomcrypt.T Ransom.Troldesh
TrendMicro Ransom_CRYPSHED.D

Troldesh/Shadeランサムウェア感染

この実行ファイルの正体は Troldesh」「Shade」 として知られる ランサムウェア(身代金型ウイルス) で、ファイルを暗号化して破壊し元に戻してほしいならメールで問い合わせるよう要求します。 <表示言語は英語&ロシア語

組み合わせとしてはかなり珍しい攻撃パターンです。
  • 『英語の迷惑メール × ランサムウェア』 ⇒ よく確認されてる
    『日本語の迷惑メール × ネットバンキング不正送金ウイルス』 
  • 『日本語の迷惑メール × ランサムウェア』 ⇒ かなり珍しい
ランサムウェア感染症状

暗号化したファイルは米ドラマ『ベター・コール・ソウル』 に由来する 「~.better_call_saul」 へ拡張子を変更します。

イメージ 3
暗号化で破壊されたJPEG画像ファイル
 ファイル名はグチャグチャ .better_call_saul 拡張子に変更

イメージ 4
Torネットワーク上のTroldesh/Shadeページ
復号について攻撃者とコンタクトするメルアドの記載のみ

イメージ 2
脅迫文が記載されたテキスト README[数字1~10].txt
【脅迫文テキスト】
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
****************|0
to e-mail address *****@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
(~以下略~)
日本人を狙ってるのに、ランサムウェアそのものは必ずしも日本での感染を想定してないので何だかチグハグとも言えます。 <対応環境はWindowsパソコンなので言語関係なく感染するけど
関連するブログ記事
タグ :
#Windows
このエントリーをはてなブックマークに追加

↑このページのトップヘ