日曜日, 6月 06, 2010

【Phising警告】SNSサービスを利用しマルウェアURLをダウンロードしてしまう仕組み

最近SNSサービス(例えばGoogleなど)を利用しマルウェアをディストリビューションする仕組みが発見されました。今回の内容は現在発見された「Googleグループ」と「Googleドキュメント」のダウンロードURL/リンク/ページを用いたマルウェアダウンロードの仕組みです。

念のために何故Googleサービスを使われているかと説明します。スパムやPhisingメールが毎日沢山届いてしまいました。メールの文書の中に殆どURL/リンクが入ってます。よく分かるユーザ(又はスパム対策ソフト)がURLの情報を確認して、疑わしきURLかどうか判断してからブラウザーでリンクをアクセスします。GoogleさんのURL(又は他の有名なISP/SNSポータルサービス、例えば:mixi、greeなど)を使われてPhising/スパムメールですと判断しにくい状況になり、クリックしてしまう可能性が高いです。下記の3件Phisingメールサンプルをご覧下さい。

1)ブログ管理者宛名のPhisingメール↓


2)E-Card使いユーザ宛名のPhisingメール↓


3)ビデオダウンロードのPhisingメール↓


↑上記のサンプルを見たらリンクの情報は同じダウンロードソース(URL)を使われてます。ドメインは「googlegroups.com」とダウンロードファイルは「setup.zip」です。
このURLはメール配布だけに限らず、(1)インスタントメッセンジャー又は(2)XMS/XCRFで攻撃されたウェブURLの転送などもも有り得ます。

では、リンク先のURLを調査したら、実は何があるのかと下記の画像をご覧下さい↓

「googlegroups.com」で「setup.zip」ファイルを提供されてます。「setup.zip」をスキャンしたら「scareware」又は偽マルウェア対策ソフトとなります↓

※上記の画像をクリックしたら詳細マルウェア調査結果を見えます。

結論↓
オンラインで「Public」の権限で提供されているファイルダウンロードURLに気をつけて下さい。有名なSNSサービスのダウンロードURLも中々信用が出来ないです。
基本的にURL情報が知らない相手からが頂くと開かないで下さい。

credit: CA(Phisingサンプル), threatexpert(調査結果),株式会社ケイエルジェイテック(setup.zipサンプル)
---
株式会社ケイエルジェイテック
http://www.kljtech.com
マルウェアモニターセンター

0 件のコメント:

コメントを投稿