以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

金融機関のID/PWを盗むスパイウェア入りの振込受付メールが3通も届いた件

f:id:abyssluke:20160303173415p:plain
今日、同じ内容のウイルスメールが3通も来たので注意喚起的な意味で書く。
(意訳:ウザいから晒す)

内容

本メールは、セキュリティ強化のため、電子署名をつけてお送りしています。
~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~

2016年3月3日にお振り込みを受け付けいたしましたので、ご連絡いたします
(受付番号 20160303-002)。

  • HTMLメールで、実体参照を用いて書かれている。なお、テキストパートも内容は同じく実体参照を使っているのでメーラーによってはカオスなことになる。
  • Fromは日本ドメインのアドレスが使われている。
  • 件名は必ずFwd:から始まる模様。
    • こちらに届いたメールの件名はそれぞれFwd: copy、Fwd: alert message、Fwd: Re:。
    • 中身が日本語ならSubjectにも日本語使うなりしろよな…と思っていたり。
  • 添付ファイル名は20160302-002.xml.sig.zip。
    • 内容には20160302-002.xml.sig.xml.exeが含まれている。
    • 受付番号とファイル名が合わない…w 昨日送信分のものをそのまま使ったのか?
  • どこの銀行なのかは書いていない謎。

解析結果リンク

どうやらBeblohという、金融機関などのID/パスワードを収集するスパイウェアの模様。

蛇足

  • あまり意味はないだろうけれどすべてspamcopで通報している。
  • 一応シマンテックに検体提供してみるなどしたのは秘密。
実験中:よい子は次のアドレスにメールを絶対に送らないでください。場合によっては晒しあげされますよ。 ivyrush+htnb.20170313@rita-ch.com viande@rita-ch.com