乐胖代购免代理版

2015年10月29日午前中に三栄書房などをなりすましたメールを確認しました。ここでは関連情報をまとめます。

公式の注意喚起

三栄書房よりなりすましメールの注意喚起が掲載されている。

弊社になりすました虚偽メールが配信されています

2015年10月30日朝方より、弊社社員を名乗り、「請求書をお送りします」等のタイトルで虚偽の内容のメールが多数の方に配信されるという事態が起きています。
弊社からはそのようなメールは一切配信しておりません。
この事態について調査を進めた結果、不正アクセスによるものではなく、弊社とは無関係のサーバーから弊社になりすましたメールが送られていることがわかりました。
同日午後、警察に被害届を提出し、捜査を依頼いたしました。
弊社になりすました虚偽メールが届いた場合には、メールおよび添付ファイルを開かずに削除いただくようお願いします。
万一、開いてしまった場合はウイルス対策ソフト等で駆除されることをおすすめいたします。

2015年10月30日
株式会社三栄書房
http://www.sun-a.com/news/detail.php?nid=265

注意喚起など

本日朝８時頃から、出版社を装ったウイルス付きメールが出回っていることを確認しました。ネットバンキングの情報などを抜き取られるおそれがあります。身に覚えのない請求書メールや不審な添付ファイルは絶対に開かないでください。 pic.twitter.com/b3KMlT9z97
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2015, 10月 30

送付されるスパムメール

piyokangoが確認したものは次の通り。(他にも存在する可能性があります。)

No	件名	発信元詐称ドメイン	発信元IPアドレス	添付ファイル
1	日宣様宛請求書をお送りします	san-eishobo.co.jp	N/A	2015-10-29-002903.doc
2	タンケン—請求書(小)の件です	nitto-pri.co.jp	N/A	102911.doc

スパムメールの本文(No.1)

お疲れ様です。遅くなりました。
ご依頼の請求書をお送りします。
ご確認の上、お手配よろしくお願いします。
------------------------------------
株式会社三栄書房経営企画本部経理部
＊＊＊＊
〒160-8461 東京都新宿区新宿6-27-30
新宿イーストサイドスクエア7F
?:03-6897-**** Fax:03-6897-****
h**p://www.sun-a.com/

添付されたマルウェア

Wordファイルのマクロ実行後の通信先は.fr以外に.czも確認されている模様。

Downloader（Wordファイル）

No	ファイル名	SHA256	実行後通信先
1-1	2015-10-29-002903.doc	65cc6fd64b16c3badffe692bfa6cea624bed1fb3e9838a172b3b3fd353158c12	thewatermill[.]fr (81[.]88[.]57[.]68:80)
1-2	〃	03db14bb21ccb9d114c48593033158b169c14ddf58e8f377a963fdd1405ab5e5	ullis-airbrush-shop[.]de (82[.]165[.]92[.]232:80)
1-3	〃	8425016020cee458743c3c0538a014bf77d3a3f0b5d061c10ac4151f68119302	www[.]daisylabs[.]com (213[.]205[.]40[.]169:80)
2	102911.doc	737643f9efacea8a53f8778dde557869d3fc63752f59dada71c5062c3e18e02c	fricjiri[.]vyrobce[.]cz (88[.]86[.]117[.]156:80)