Scan from a Hewlett-Packard ScanJet - htmlファイル添付型
Published: 2012/04/09
観測日: 2012/4/6
通数: 10通/day
手法: 添付ファイル型。ファイルを展開し開くとマルウェアダウンロードサイトへアクセス。
目的: マルウェア感染
特徴:
おなじみのスキャナーメッセージのバリエーション。
- Scan from a Hewlett-Packard Officejet - RLO利用
- Scan from a HP Officejet
- Scan from a Hewlett-Packard Officejet
今回添付されているzipファイルの中身は流行の改竄サイトに設置されるhtmlファイルと同一のものになっています。
つまり、これも今現在は、Facebook - index-include.htm等の一連のCVE-2011-3544、CVE-2012-0507等その他を利用した攻撃のバリエーションの一つとして利用されています。
いつものメール。
添付ファイル
展開するとhtmlファイルが。
その中身は、最近の改竄サイトに設置されるものと同じ系統。
なので、次のステップも同時期の他の攻撃と共通。
domain | path |
---|---|
http://211.44.250.173:8080 | /navigator/jueoaritjuir.php |
http://62.85.27.129:8080 | /navigator/jueoaritjuir.php |
http://219.94.194.138:8080 | /navigator/jueoaritjuir.php |
http://78.83.233.242:8080 | /navigator/jueoaritjuir.php |
昨日のsakuraも含まれていますね。
このあとダウンロードされるjar、pdfファイルも同じ。
今年のものは若干異なりますが4年つづけて4月は改竄が流行ってことですかね。
by jyake