ブログ - Payment Advice - Advice Ref:[GA21270564 という不審なPDFが付いたフィッシングメール
Payment Advice - Advice Ref:[GA21270564 という不審なPDFが付いたフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2023/11/24 22:41
HSBC銀行を騙る者からこのようなメールが.
引用: PDFの添付ファイルが付いてきていてメーラによってはインライン表示されてしまってるけど,再度PDFファイルを確認.
PDFファイルはダウンロードボタンだけのあるもので,誘導先のURLをVirusTotalで調べてみた.
まぁみるからに怪しい.
引用:
Dear Sir/Madam,
This mail is to notify you that the following transaction has been made by our customer for credit to your bank account.
The attached payment advice is issued at the request of our customer, please find the attached payment slip for your reference.
Please inform your Bank for confirmation.
Yours faithfully,
Robert Steve
HSBC BANK LTD
Global Payments and Cash Management
拝啓
このメールは、弊社顧客より貴社銀行口座に下記の取引が行われたことをお知らせするものです。
添付の支払通知書は、お客様のご希望により発行されたものです。
ご確認のため、貴行までお知らせください。
敬具
ロバート・スティーブ
HSBC銀行
グローバル・ペイメント&キャッシュ・マネージメント
PDFファイルはダウンロードボタンだけのあるもので,誘導先のURLをVirusTotalで調べてみた.
まぁみるからに怪しい.
念の為,Symantec WebPluseで調査.
ただのフィッシングだけじゃなく「プロキシ回避」「ファイルストレージ/共有」なるテクニックがあると評価されている.不審なファイルをダウンロードさせるランディングページだから,ファイルストレージとも言えるのかもしれない.
添付ファイルをVirusTotalで評価.
トロイだと記載がありますね.このファイル自体はダウンロード誘導用だけなのでトロい扱いってことですかね.
PDFの分析環境も揃えないといけないかな.
追記2023/11/25
ということでPDF Stream Dumperを使ってPDFを分析してみた.
このPDFは2022年に生成されている.
URLの情報も出てきた.逆にいうとこれ以上は無いので,ウイルス入りではなくてダウンロードサイトへ誘導するURLが含まれているから,トロイなのでしょう.
PDFの生成が古いし,リンク先のURLは無効化されているので実際のところ脅威では無いと思うのだけど,今回このダウンローダーがばら撒かれたのは,無効化されたFQDNが再活性したとかがあったのだろうか...?
ただのフィッシングだけじゃなく「プロキシ回避」「ファイルストレージ/共有」なるテクニックがあると評価されている.不審なファイルをダウンロードさせるランディングページだから,ファイルストレージとも言えるのかもしれない.
添付ファイルをVirusTotalで評価.
トロイだと記載がありますね.このファイル自体はダウンロード誘導用だけなのでトロい扱いってことですかね.
PDFの分析環境も揃えないといけないかな.
追記2023/11/25
ということでPDF Stream Dumperを使ってPDFを分析してみた.
このPDFは2022年に生成されている.
URLの情報も出てきた.逆にいうとこれ以上は無いので,ウイルス入りではなくてダウンロードサイトへ誘導するURLが含まれているから,トロイなのでしょう.
PDFの生成が古いし,リンク先のURLは無効化されているので実際のところ脅威では無いと思うのだけど,今回このダウンローダーがばら撒かれたのは,無効化されたFQDNが再活性したとかがあったのだろうか...?
