2016/08 : 無題なログ

ウイルスメール実例document.zipからショートカットファイル？標的型攻撃

{{{ 2016年10月更新 }}}

イギリスのセキュリティ会社 Sophos（ソフォス）がWindowsの ショートカット（拡張子 .lnk）を悪用した攻撃手口を紹介してます。

この記事の中で 日本語で記載されてるウイルスメール の実例が掲載されていて何じゃこれなので文字起こししておきます。

＜日本の大学関係者宛て？

件名 [～塗りつぶしで不明～]
添付ファイル document.zip
[～塗りつぶしで不明～]
学会では短い時間お話ししただけですが、ずっと尊敬に思っていた先生にお会いすることができてすごく嬉しかったです。

実は、僕が今研究してるプロゼックトに関して少しお伺いしたいことがありまして失礼ながらもメールをお送りします。

詳細な質問は添付いたします。

この分野に詳しい先生から僕のプロゼックトについてご意見を伺いできればこれからの研究に大きな力になると思います。

お忙しいなか、突然のメールで申し訳ございませんが、何卒よろしくお願いいたします。

■ Beware of ransomware hiding in shortcuts – Sophos Naked Security
https://nakedsecurity.sophos.com/2016/08/03/beware-of-ransomware-hiding-in-shortcuts/

メールの添付ファイルはショートカット

メールの添付ファイルは ”ドキュメント文書” と思わせるZIP形式の圧縮アーカイブとなってて、この中身が 不正なショートカットファイル でした。

＜よくある怪しい実行ファイルではない！

オンラインスキャンサイト VirusTotal にアップされてたファイルの情報です。

《2015年11月》

document.zip （16,088 バイト）

www.virustotal.com/ja/file/345928523be759511559028d8f763b6c6375b62264b9d15c41d0f271cfbdab62/analysis/1448413308/

└ index.html （15 バイト）

└ document.docx.lnk （19,083 バイト）
MD5 eca4a364021b7449bc2288d6779f3909
www.virustotal.com/ja/file/c2e99eedf555959721ef199bf5b0ac7c68ea8205d0dff6c208adf8813411a456/analysis/1454920356/

《2016年4月》

document.zip （15,141 バイト）
www.virustotal.com/ja/file/551421e1abbb1d0aea2ac752420366cb635482c58478225eb6fb3074dc22e328/analysis/1461027721/

└ index.html （15 バイト）

└ document.docx.lnk （18,129 バイト）
MD5 5ebfaf2316f6afd576d3c0cbaa5c9c1a
www.virustotal.com/ja/file/606e98df9a206537d35387858cff62eb763af20853ac3fa61aee8f3c280aaafe/analysis/1461031400/

このサイバー攻撃で富山大学は実害が発生したことを公表しており、複数の大学の関係者を狙って実施された模様です。

■ 富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について｜富山大学
https://www.u-toyama.ac.jp/news/2016/1011.html

ショートカットウイルスの危険性

巷では『怪しいファイルを開くな！』と言われるけど、見抜くのがけっこう困難なショートカットファイルが採用されてます。

ショートカットは拡張子が必ず表示されない仕様があり、この攻撃ではWord文書ファイル（.docx）が送られてきたかのよう誤認せざるをえない
ショートカットはアイコン画像の偽装も可能で、この攻撃ではダミーとしてWord文書用アイコンが実際に反映されてた？
広く一般ユーザーに行われるウイルスメール攻撃キャンペーンの定番手口はスクリプトファイル、Officeファイル＋マクロ、実行ファイルなので、ショートカットを悪用する手口は必ずしも多くない

うっかり開いてしまうのを前提としたウイルス対策もあって、実行ファイル cmd.exe ＆ powershell.exe をファイアウォールのアウトバウンド（送信側）で通信ブロックしておくと高確率で防止できます。

● ランサムウェア被害防止に有効ファイアウォールで迷惑メールの添付ファイル対策

標的型攻撃であっても不正なファイルをユーザーにダブルクリックで開かせる手口なので、メールソフトのプレビュー機能でメッセージを開いて見ただけでウイルス感染を被るような手法は行われてません。

● ウイルスメールの添付ファイル事例8つ危険な拡張子開いて感染被害

関連するブログ記事

・【画像】ショートカットlnk悪用ウイルスの巧妙な偽装手口感染回避対策

・メール本文を開く/見た/読むだけでウイルス感染被害!? プレビュー機能の呪縛

タグ：: #Windows

偽警告このコンピュータへの不正侵入の試みが*回ありましたに注意！終了方法

ネットサーフィン中にいきなりリダイレクトがかかって転送された先に表示された偽警告ページにダマされないようご注意を！

＜ふっ、不正侵入の試み？

PC Repair のインストールを誘う

お客様のIPアドレス: X.X.X.X あなたの場所: * Windowsのバージョン: Windows ○

このコンピュータへの不正侵入の試みが ([増える数字]) 回ありました。以下のものが危険にさらされています：クレジットカード情報　アカウントのパスワードFacebookのアカウント　ウェブカメラのプライバシー

この問題は、直ちに修復する必要があります . 以下の手順に従ってください：
ステップ 1: 下のボタンをクリックします
ステップ 2: 、マイクロソフト認定パートナー、PC Repair をインストールします
ステップ 3: コンピュータの安全を確保するため、このソフトウェアをインストールし実行します｛修復｝

Microsoftはお使いのWindows PCに過去25分間の間にいくつかのハッキングの試みがあった形跡を検出しました。ファイアウォールは、古いWindowsドライバによる危険にさらされています。直ちににそれを更新する必要があります.

寿命が縮む衝撃的な情報を突きつけユーザーを焦らせ、冷静な判断ができない状態にしたところで、導入価値の無い不必要な 迷惑ソフト（PC Speedup Pro Repair など）をWindowsパソコンへインストールするよう誘う詐欺広告になります。

■ 突然現れるパソコンの警告表示をすぐにクリックしないこと！－その表示は、有料ソフトウエアの広告かもしれません国民生活センター
http://www.kokusen.go.jp/news/data/n-20140424_2.html

■ 警告表示をして、セキュリティーソフトを購入させる詐欺広告に注意東京都
http://www.shouhiseikatu.metro.tokyo.jp/trouble/trouble25-sagiadvertisement-140106.html

上部に Microsoft Windows、McAfee、Norton SECURE、TRUSTe のロゴマーク見えるけど、ブランド名を勝手に悪用して警告の信ぴょう性を持たせる偽装です。

ブラウザを終了しても偽警告ページから抜け出せない!?

んで慌てながらも、×ボタンでブラウザやタブを閉じようとすると…

偽のSystem Errorダイアログ（単なる画像ネ）とともに、ブラウザのポップアップダイアログが表示されブラウザの終了を妨害してきて追い込んできます。

頭の中をパニック状態にさせる警告にダマされないで！

System Error
お待ちください
お使いのコンピュータは、安全が確保されていません。直ちに問題を修復する必要があります。このページに留まり、注意深く指示に従ってください。
待って下さい！!
お使いのコンピュータは、現在感染されていて、あなたの個人情報が流出しようとしています。あなたはできるだけ早く修復する必要があります。
ウイルスを除去せずにこのページを離れないでください.

この場合は、キーボードの「Alt ＋ F4」キーでブラウザを終了できるはずで、あるいはブラウザを強制終了してしまう方法でもＯＫですよぅ。