NACHAからのAlertを騙るスパム 2
Published: 2012/02/28
観測日: 2012/2/27〜
通数: 数通〜数十通/day
手法: メール文中に誘導リンク
目的: 誘導先でマルウェアダウンロード
特徴:
- fromはaol.com
- ハックされたWordpress系のサイトを利用
- ダウンロードリンクに「xxxxx.ru:8080」
ACH系のよくあるタイプのバリエーションです。
こんな文面。
subjectはこんな感じ。
Fwd: Security update for banking accounts. Fwd: ACH and Wire transfers disabled.
文面のリンクの例。
リンク先のページ。
ダウンロードリンクは懐かしの「.ru:8080」
ダウンロードされるファイルはこれ。
(8/43) Cridex?
久しぶりに見る手法も含め昔ながらの手法ではありますが、あいかわらずです。
ただし観測数は非常に少ない。
oba.trincohindu.sch.lk. 74.209.214.8 NetRange: 74.209.214.0 - 74.209.214.255 CIDR: 74.209.214.0/24 OriginAS: NetName: D393-ASH01-74-209-214-0-24 NetHandle: NET-74-209-214-0-1 Parent: NET-74-209-192-0-1 NetType: Reassigned RegDate: 2011-03-15 Updated: 2011-03-15 Country: SG
by jyake