先日、マカフィーは、VISAのカスタマーサービスから送られたように装う詐欺メールが世界中に広がっていることを確認しました。メールの件名は「Your credit card has been blocked(お客様のクレジットカードが停止されました)」です。なお、文字コードにはCentral European (ISO)が使用されています。
メールには、ランダムなファイル名でZIP形式に圧縮された悪質な実行ファイル「VISA_complete_NR<ランダムな番号> .doc________________.exe」が添付されていました。このマルウェアは、偽セキュリティソフトである別の実行ファイルと一緒に圧縮されています。マカフィーでは、同じペイロードが、別な詐欺キャンペーンで別の名前で世界中に配布されていることを確認しました。以下はファイル名の一例です。これにより、サイバー犯罪者がVISAだけではなく、UPSやMastercardなども悪用していることが分かります。
- ups_invoice_id865165475837266465.doc________________.exe(UPS詐欺)
- mastercard_invoce_id65729217565333.doc________________.exe
- visa_complete_nr62178865627245.doc________________.exe
作成されたマルウェアは、偽セキュリティソフトであるXP Security 2012、またはPersonal Shield Proをリモートサーバーからランダムに選びます。なお、マカフィー製品では、これらのペイロードはFakeAlert-AB.dldrという名前で検出します。
これまでの亜種と異なり、これらのバイナリには文書ファイルのアイコンがなく、ユーザーの目をかいくぐることはできません。マカフィーのクラウドベースのセキュリティ技術基盤Global Threat Intelligenceで調査したところ、この詐欺は世界中をターゲットにしていました。以下の画像から、このマルウェアが世界中に広がっていることが分かります。
マカフィー製品のユーザーは、既にこのマルウェアから守られていまが、引き続きメールを安全に利用いただくよう、注意をお願いします。
※この記事は、McAfeeの運営しているブログから、注目のエントリーを編集部でピックアップし、転載しているものです。