日本郵政から到着したメールが実はマルウェアを拡散するためのスパムだった
という事例が報告してるようです

メールが届いたときにきっと違和感が発生するはずです
日本郵政にこのメールアドレスを伝えてたかな?

もし、メールを登録していてもそれが本当にそうなのか考える必要があるようです

狙いは国内ネットバンキング、日本郵政を騙るマルウェアスパムが拡散
 
トレンドマイクロセキュリティBlogから引用

 トレンドマイクロでは 2016年2月14日以降、日本郵政からのメールを偽装するマルウェアスパムが国内で拡散していることを確認し注意喚起致します。同種の偽装メールは昨年12月以降に散発的に確認されていましたが、その手口が再度勢いを増しているものと思われます。
図1:日本郵政を偽装したマルウェアスパムのサンプル
図1:日本郵政を偽装したマルウェアスパムのサンプル

このマルウェアスパムには ZIP圧縮ファイルが添付されており、展開すると「郵便局 – 日本郵政_お問い合わせ番号_###########から 100通_FDP.SCR」(「#」は数字)のようなファイル名の不正プログラムが現れます。この不正プログラムをトレンドマイクロ製品では「PAWXNIC(ポウクスニック)」の検出名で検出対応しています。

この「PAWXNIC」はHTTPS通信を使用したダウンローダ活動を行います。この際に、実在のルート証明書に偽装した証明書を感染環境にインストールします。通常の環境ではこのインストールの際に以下のような警告ダイアログが表示されます。

図2:「PAWXNIC」がインストールするルート証明書例
図2:「PAWXNIC」がインストールするルート証明書例

しかし、「PAWXNIC」はこの警告ダイアログが描画されたすぐ後に「はい」ボタンを自動的に押下し、ユーザの操作なしにインストールを完了させます。

最終的には、不正プログラム「ROVNIX」がダウンロードされます。この「ROVNIX」は国内ネットバンキングを狙う活動を持つオンライン銀行詐欺ツールです。「ROVNIX」が感染した状態でネットバンキングサイトへアクセスすると、偽画面を表示するなどの方法で認証情報が詐取されます。今回確認した「ROVNIX」では都市銀行、地方銀行、信用金庫、共同化システムを含む 30のネットバンキングサイトを標的としています。

このマルウェアスパムの送信元として、ロシアのフリーメールのアドレスが利用されています。トレンドマイクロでは、同一のフリーメールを使用した日本語スパムの送信事例を昨年末から継続して観測しており、同じ攻撃者による一連の攻撃キャンペーンが背景にあることが推測されます。トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計によれば、2月14~18日の間にこのマルウェアスパムにより拡散される不正プログラムの検出を国内で 2,800件以上確認されています。

図3:日本郵政を偽装したマルウェアスパムから拡散される不正プログラムの検出台数推移
図3:日本郵政を偽装したマルウェアスパムから拡散される不正プログラムの検出台数推移



 

style="display:inline-block;width:728px;height:90px"
data-ad-client="ca-pub-6391873070591648"
data-ad-slot="5974857870">



にほんブログ村 PC家電ブログ パソコン・周辺機器へにほんブログ村 PC家電ブログ Windowsへにほんブログ村 PC家電ブログ パソコンの豆知識へ
にほんブログ村