About

ゲーム作成用のオーサリングツール:MMF2とその機能などを紹介していたサイトです。2013年12月以降は新製品である Clickteam Fusion 2.5が発売されたため、ブログも含めCF2.5へ移行しました。MMF2関連ブログとして主要な記事は残りますが、MMF2と関連性のある新規記事追加は無くなります。開設以来多くのアクセス、誠にありがとうございました。

auto-shipping@amazon.com からウィルス添付メールが来たよ

「Your Amazon.com order has dispatched (#136-6653137-0837304)」というタイトルでメールには本文が無く、添付ファイルが一つというメールが届いた。

以前 PayPal (ペイパル)を装ったフィッシングメールが来たけれど、今回は手っ取り早くウィルス添付メールっぽい。


送信元のメールアドレスを見て、メールが本物であるか否かを判断するのは危険。auto-shipping@amazon.com については実在するが、メールの送信元アドレスは偽装されやすいということを知らない人は結構簡単に騙されるという、スパムの手法としては古典的ながら有効な手口だ。

メールの送信元がそれっぽいものであっても IP アドレスは偽装がやや難しいため、少しでもおかしいなと思ったらまず送られてきたメールのソースを開いて、送信元のIPアドレス情報を得て、それをドメイン検索にかけると良い。ちなみに IP 情報を元に調べた結果、今回はポーランドから送信されたものと分かった。

次に送られてきた添付ファイルだが、最近は JavaScript 製のウィルスっぽいものが流行っていて、今回もそのケースかなと思ったのだが?

ファイル名は ORDER-136-6653137-0837304.docm で DataType は application/vnd.ms-word.document.macroEnabled.12となっていた。この辺りはメールソフトによって多少判定が異なるだろうが、「macroEnabled 」の時点で VBA が動く環境を狙っているから主にウィンドウズマシンをターゲットにしたマルウェアのようだ。

添付ファイルは一応ワードドキュメントらしいけれど、まずテキストファイルとして強制的に開いてみた。これは拡張子自体が偽装だろうという前提で、バイナリヘッダを調べる目的がある。

ヘッダを見るとやはり Zip ファイルだった。バイナリをざっと見ると zip 内部に xml ドキュメントも格納されている。というわけで添付ファイルの拡張子を zip に変えたら zip として正常に展開することができた。

ファイルの一覧を眺めるとほとんどが xml でこれらは設定ファイル的役割っぽい。バイナリが無いかなと探したら一つだけあった。これをまたテキストとして開くと今度はヘッダが zip ではないっぽいのでマルウェアの本体がこれか?

La cuenta esta con fecha de bloqueo という文字列を発見。英語じゃない、スペイン語っぽい。これ以外にも Primero quitamos los dos puntos del puerot? など随所にスペイン語が入っている。

この他にもいくつか特徴のあるサンプルが取れたので検索すると

ORDER-349-9060444-3470426.docm

これでビンゴ。手口もマルウェアとしても古臭いウィンドウズを狙ったものだったみたい。


Comments are closed.