背景イラストレーター「助けて!パスワード付き圧縮ファイル(rar形式)を解凍したらTwitterアカウントが乗っ取られたの」 [594040874]
■ このスレッドは過去ログ倉庫に格納されています
rarの副ストリームにマルウェアを仕込むのとかあったよな
また新しい方法でも見つかったのか rarって公式アプリ以外だと再現ムリな仕様が一部あるっぽくて困る >>400
スクリーンセーバー=実行ファイル
exeをscrに変えても動いちゃう、これ知らない人結構居そう。 >>404
よくわからんがキーロガー的なヤツを送りつけて、偽装メールでパスワード変更要求して入力させて乗っ取りしたんじゃないの
まぁ偽装メールでパス変更しちゃうのもアレだけど >>400
イマドキスクリーンセーバーを無料でダウンロードして
ワクワクしてる人とかいるんだ 一部の人はスタートアップを許可制にしたところで何を許可してるのかも分からなさそうだし正直どうしようもない
実行ファイルを展開時に勝手に消しまくるノートンを入れればとりあえずは解決するけど everythingしたらUNACEV2.DLLが何個もあったわ糞が
xnviewでも使われてんのね >>400
送られた資料の中に偽装アイコンのscrが混じってたの?
それを実行してもwindows denfenderじゃ検出も保護もできなかったって事か
怖いなぁ この手の絵師ってPCに疎いのか、さらに突っ込まれても選民思想発露してまともに質問にも答えないからいかん
解凍しただけなのか実行したのかすら答えやしねぇ >>425
EXEやScrにデジタル署名されていたら検出行動をしないってのもある
デジタル署名があるから出所がしっかりしているってことになるし
しかしデジタル署名があるScrがそもそもマルウェアだとすると作成者はどうやって正規の企業の証明書を手に入れたかって話になってややこしくなる ファイル名を暗号化するかしないかで挙動が変わるからな
でもこれ説明が下手すぎるけど何となく拡張子偽装のexeに聞こえるんだよな
どのタイミングでパスワード入力促されるのかもよくわからんし
解凍ソフトに聞かれてるのかファイル開いたときに聞かれてるのか、後者だったら確実にもうアレだし
んでexeならウイルスファイル配置したあとに通常通り画像やテキスト表示させるなんてことも簡単にできるからな
画像はwindows側のサムネ表示がおかしくなりそうだからあれだけど、テキスト系だったら楽勝に偽装できる
ただOSが違ってて、例えばXPのアイコンで偽装してたら以降のOSで開いたときにこのアイコン古くね?ってなったりするけど rar 7-zip
普通の人は使わないのに何故か嫌儲民は詳しい模様 結局Lhaplusより7zip使ってた方が安全なのかな
会社の端末はLhaplus入ってるけど アーカイバなんか最初にインストールして更新しないから
俺でもひっかかると思うわ >>420
スクリーンセーバーとか最も実行というか利用しなさそうなのに
そんなのに引っ掛かる奴おるか? 大手のセキュリティソフト入れてたらセーフだよな?
脳死でやりそうで怖いんだが >>434
こういうのは送る直前に各種ウイルスソフトに掛けて引っかからないかどうか確認してから送るもんだから無理 >>372
ただ、defenderさんはpass付きrarの中身は見ないな よく分からんがReal Defense LLCとか言うところのデジタル署名が漏れて悪用されてるってこと? WINRARで解凍できないrarファイルばっかりだからもう使ってねーわ
っぱ7zipよ 結局経緯まとめられたらexe実行してただけってオチで草
rar完全にとばっちりやんけ .scrアイコンの偽装はこれ動画ファイルのアイコンかな
急に300MB越えのファイルが出来ていることやアイコンがサムネイル表示に変わっていなかったりとかから不振がったりしそうなもんだけど、ほんの数人引っ掛かればいいだろうからこうした手口が流行っているのか
2段階認証突破されたと本人が言っていることから、それが本当ならどんな手段で突破されたのかcheenaにはツイートしてほしい
してなかったってオチっぽいのと、メアド変更の知らせやらが届いているのに2段階認証再設定のときにメアドが本当に変わってないか確認してないってのがかなり杜撰なんじゃねと思う 相談相手が千秋だったのはガチだったのか
被害者頭ユルユルだろ winrarはもう使うなってここで言われた気がする 7zip使ってても.exe踏むやつは踏んじまうから関係ないんよ >>3
ラプラスは今でもずっと駄目なのか
使ってた頃だから十年前?に解凍箇所がどうとかみたいなアプデあったけど >https://twitter.com/Kurotsuki_962/status/1471464254075453447
>Kurotsuki_962/くろつき🦉𝐊𝐔𝐑𝐎𝐓𝐒𝐔𝐊𝐈 2021/12/16(木) 21:56:31 via Twitter for iPhone
>【※注意喚起】
>
>今回の一連の経緯を、改めて時系列にまとめました。
>
>【※拡散希望】
>http://pbs.twimg.com/media/FGuw7W7UUAMQ8xQ.jpg:orig
rar何も悪くなかった模様
https://twitter.com/5chan_nel (5ch newer account) パスはpathなのかpasswordなのかはっきりしろ
使用したwinrarのバージョンをきちんと書け ラーのこと悪く言ったやつのせいでより混乱してんじゃんか >>455
脆弱性でscrを自動実行系のフォルダ(scrでも使えるのかscr用のがあるのかはしらん)に展開されたのかもしれないけど
注意喚起とか言ってる癖にそこをボカしてるあたり単にダブルクリックしただけだろうな
大方イラストの依頼だからscrは資料のアニメーションとかベクターイメージ的な何かとか言われたんじゃない?
でアイコンもそれっぽいのに偽装できるから「ああ普通にwindowsの機能でみれるんだな」って押しちゃうみたいな rarって破断ファイルだよね?
今時rarなんて見た瞬間にヤバいと感じそうなもんだが >>455
@で、rarファイルを解凍する時にpasswordは必要だったのではないか?
暗号化した圧縮ファイルではセキュリティソフトで見逃しが発生するおそれがあるから一文添えるべきでは
そしてその上で今回の攻撃者は解凍後にもセキュリティソフトを回避する対策がとられていて驚異だったのでは
Aで、以前はテキストファイルがあると言っていたがそれはあるのかないのか
(「制作仕様書と英語で書かれたテキストファイル」とあったからscrファイルをテキストファイルと勘違いした?)
あとscrファイルを実行させたらどうなったかも知りたい(Windows Defenderの保護画面が出なかった、実行させたと思ったのに何の変化もないよう思えた等)
Cで、2段階認証を一旦オフとあるが、以前はどの認証だった?
そもそも突破された後に認証を強くしても、それだけでは乗っ取った人はログイン状態をキープし続けることができるのでは?
相手を強制ログアウトさせることができなければ意味ない?
Eで、不審な送金とあるけど送金金額や回数、日時等もうちょっと詳しく書けるのでは?
全体をみると、この人が注意喚起できるのは偽装srcを実行してはいけないってことだけでほか大した対策や考察もしていないから、注意喚起とするならそこを強調したほうが良いのでは 時系列というからには、おおよそでも時間が欲しい
Cでログインし直せたってのは、メールアドレスじゃなくアカウント名でログインできたってことなのかgoogleアカウントでログイン等提携サイト経由でのログインか
ここ以前のログイン状態がキープできていただけな気がする
じゃないとEのタイミングでログインできなくなったとなるのは不思議なよう思える
あとサブアカウントは無事だったみたいだけどその理由は何なんだろ(異なるメールアドレスでアカウント作成していたとか?) このスレでイキってる奴らも「依頼の詳細についてはビデオチャットでお話ししたいと思います。弊社のセキュリティの都合上zoomは使えませんのでこちらのチャットアプリをインストール後、IDをお知らせください」とか言われたらそのままインストールしちゃいそう☺ ■ このスレッドは過去ログ倉庫に格納されています