(3/15 追記あり)
こんなタイトルのメールが先月届きました。LogMeInは自分の PCにどこからでもリモートアクセスできる便利なサービスですが*1、私自身は使っていません。スパムだろうと思ってスルーしていたのですが、その後 1ヶ月の間に 3通ほど届きました。鬱陶しいのでブログのネタにすることにします。
メールの送信元
Fromアドレスには "LogMeIn.com Auto-Mailer"なんて書いてあって logmein.comからを装ってますが、当然ながらこれは詐称。実際の送信元アドレスは毎回違っていました。
| 79.170.44.207 |
| 172.190.1.115 |
| 172.129.17.232 |
メール本文
メール本文はこんな感じ。表示されているリンクは logmeinの正しいドメイン名なのですが、実際のリンク先は全く別。HTML表示じゃなくて Plain Text表示にしておけば、すぐ気がつきますね。
リンク先のドメイン
これもメールによって毎回異なっています。
| ドメイン | 3/13時点の状況 |
|---|---|
| ambassadorofangels.info | SERVFAIL |
| barbeauvitresdautos.com | 404 Not Found |
| worldint.net | 200 OK |
というわけで、一昨日届いた 3番目のメールのリンク先は現在もまだ生きてます。
マルウェア
リンク先からダウンロードしたファイルは zipで圧縮された "pdf_logmein_unlock_form.zip"という名前のファイル*2。解凍すると "pdf_logmein_unlock_form.pif"という名前の PE32実行可能ファイルが出てきます。見るからに怪しいですね。
| pdf_logmein_unlock_form.pif | |
| MD5 | b570488972a12b12e20cca9409027020 |
| SHA1 | 93b740ca7c7425125b362c708e13242e8f152847 |
| SHA256 | 6678e26bafc18e03bc7bd290fc1519423238db1195894ae88dab3f54b91e18c0 |
で VirusTotalさんに尋ねると、当然のようにもう解析済みなわけです。今朝見たときの検知率は 11/45でしたが、今見ると 21/45に上がっています。対応がすすんでいる様子。
https://www.virustotal.com/en/file/6678e26bafc18e03bc7bd290fc1519423238db1195894ae88dab3f54b91e18c0/analysis/
ThreatExpertにも。
http://www.threatexpert.com/report.aspx?md5=b570488972a12b12e20cca9409027020
というわけで、こんな怪しいのに引っかかる人はたぶんいないと思いますが、十分注意しましょう。
(3/15 追記)
LogMeInのヘルプページにも記載されていたので追記しておきます。
FAQ: Locked Account Phishing Attempt - LogMeIn Help
We are aware that some customers received a suspicious email modeled after our notification. Here's what to look for: ow.ly/iAFmi
— LogMeIn, Inc. (@LogMeIn) March 8, 2013
またこの件について取り上げている記事もちょっとだけありました。
Email “LogMeIn Account Notification – Account locked” contains malicious URL | mxlab - all about anti virus and anti spam
Alert Details - Security Center - Cisco Systems
