??????? .zip ?????

      No Comments on ??????? .zip ?????
スパマーは、長らく途絶えていた古い手法を再び使い始めています。.zip ファイルを添付し、ユーザーを欺いて圧縮形式のマルウェアを実行させるという手口です。以下のグラフは、.zip ファイルが添付されたスパムメッセージが、シマンテックの Global Intelligence Network(GIN)で過去 90 日間にわたって検出された件数を示しています。
 
figure1_6.png
図 1. .zip が添付されたスパムメッセージの過去 90 日間にわたる検出件数
 
1 月 7 日を見ると、シマンテックの GIN に届いた .zip 添付スパムのうち 99.81% が、「BankDocs-」の後に 10 桁の 16 進数が続く形式のファイル名でした。
 
figure2_7.png
図 2. 「BankDocs-」で始まるファイル名の .zip が添付された電子メール
 
翌 1 月 8 日になると、99.34% が、「Invoice-E_」の後に 10 桁の 16 進数が続くファイル名になりました。
 
figure3_3.png
図 3. 「Invoice-E_」で始まるファイル名の .zip ファイルが添付された電子メール
 
さらに翌 1 月 9 日には、98.94% が、「Early2013TaxReturnReport_」の後に 10 桁の 16 進数が続くファイル名になります。
 
figure4_2.png          
図 4. 「Early2013TaxReturnReport_」で始まるファイル名の .zip ファイルが添付された電子メール
 
そして 1 月 10 日には、98.84% が「[ブランド名は編集済み]_December_2013_」の後に 10 桁の 16 進数が続くファイル名でした。
 
figure5_0.png
図 5. 「[ブランド名は編集済み]_December_2013_」で始まるファイル名の .zip ファイルが添付された電子メール
 
これらの例は、ファイル名と MD5こそ異なっていますが、すべて同じマルウェアが仕掛けられており、シマンテックはこれを Trojan.Zbot として検出します。Trojan.Zbot は、侵入先のコンピュータから機密情報を盗み出すことを主な目的としたトロイの木馬です。
 
1 月 10 日以降、スパム量は通常レベルに戻っているので、大規模な攻撃は今のところ沈静化しているようですが、スパマーがまた大きな攻撃活動を仕掛けるのは時間の問題でしょう。ウイルス対策ソフトウェアは常に最新の状態に保ち、不明な送信者から届いた添付ファイルは開かないようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????

      No Comments on ???????????????????????

詐欺師がインターネットユーザーの気の緩みを狙うのは、特に驚くことでもありません。

シマンテックは、ホリデーシーズン後の数日間にわたって、新たにマルウェアが増加していることを確認しました。休暇が終わると、重要なメッセージを見逃していないかどうかを確かめるために、多くのユーザーがツールや電子メールを確認します。スパマーはそこを狙って、ユーザーが電子メール中の悪質なリンクをクリックすることに期待を掛けているのです。

今回の一連の攻撃では、スパマーはユーザーが緊急性の高い電子メールを開いて返信しようとするところを狙っています。実際にそうすると、マルウェアがユーザーのコンピュータに感染し、機密データが盗み出されてしまいます。

私自身も先週、有名なオンラインストアから送信されたように偽装した配達不能通知を受け取りました。休暇で留守にしていた間に、いくつか荷物を届けることができなかったという内容です。

最初は、何も注文していないのになぜこのような通知が届いたのかいぶかり、ひょっとしたら思いがけないプレゼントなのかもしれないと考えました。しかし、電子メール中のリンクをクリックする前にステータスバーを確認したところ、そのリンクは詐称されたもので、さらに電子メールで使われている言葉遣いや文法上の誤り(図 1 を参照)を見て、疑惑は確信に変わりました。

figure1_10.png

図 1. 文法上の誤りと悪質なリンクが含まれたスパムメール

同様に、スパマーが別の有名ブランドに偽装し、請求書に見せかけて悪質なリンクを埋め込んでいる電子メールも受け取りました。幸い、正規のブランドで使われているテンプレートとは違いがあり、偽装した電子メールのヘッダーはまったく無関係のものでした。さらに調べてみると、埋め込まれているリンクにはマルウェアが仕掛けられていました。図 2 に示すように、スパムには乗っ取られた URL が使われています。
 
figure2_9.png
図 2. 配達不能通知に見せかけた別のスパムメール

さらには、見ず知らずの人の葬儀に招待する電子メールも受け取ったことがあります。私はまず、その家族を知っていたか、または大学時代の友人だった、あるいは近所に住んでいたかどうか確認し始めましたが、そのうち電子メール中のリンクが悪質なものであることに気が付きました。

figure3_5.png
図 3. 葬儀を案内するスパムメール

こうしたスパムメールに対して、ユーザーは 2 つの方向からアプローチする必要があります。警戒しながら電子メールをふるいに掛けることと、詐欺師の間違いを見抜けるようになることです。

こういったスパムメールでは、文法上の誤りや、文構造の不備が多く、ある小売業者に偽装しておきながら電子メールヘッダーはその競合他社になっているといった偽装戦術の失敗も見受けられます。乗っ取られたドメインと URL を順々に使い回す手口も使われますが、それが偽装したブランドや企業と無関係という場合もあります。

ホリデーシーズン後の憂鬱な気分を乗り越える一方で、電子メールを扱う際には警戒を怠らず、休暇ぼけを詐欺師に悪用されないように注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????

      No Comments on ?????????

ソーシャルメディアサイトでは、追悼メッセージを悪用した詐欺が増え続けています。最近も、ジャッキー・チェン、モーガン・フリーマン、ウィル・スミス、キアヌ・リーブス、リアーナといった有名人が死亡したという詐欺がありましたが、これはほんの一例にすぎません。こういった人騒がせなメッセージには、たいてい動画へのリンクも含まれています。ユーザーが動画を見ようとすると、餌となるメッセージを家族や友人と手動で共有するように仕向けられ、詐欺の拡散に加担させられてしまいます。投稿を共有しても、謳われていた動画を見ることはできません。代わりに、広告サイトにリダイレクトされ、アンケートに答えるよう求められるだけです。この広告とアンケートが詐欺師の収益源となっています。悪質なブラウザ拡張機能やアプリケーションをダウンロードするよう求める亜種もあります。この手の詐欺は目新しいものではありませんが、儲けにつながる限り途絶えることはないでしょう。

Facebook RIP scam 1.png

図 1. ソーシャルメディアサイトで共有されている偽動画詐欺

最近、一部の詐欺で頻繁に利用されているのは、自動車事故で亡くなったポール・ウォーカーさんとロジャー・ロダスさんです。話の大筋は間違っていませんが、詐欺師はこの悲劇的な事故を悪用して、事故の未公開映像が写っていると称した動画を広めようとしています。悪質な Facebook アプリケーションを使うことに特化して、詐欺の拡散を図る詐欺グループもあります。詐欺師は IP アドレスから地理情報を調べる簡単な JavaScript を利用してユーザーの位置を特定し、その地域に対応するサイトにブラウザをリダイレクトします。こうしたあからさまな動作も、最近では珍しくありません。リダイレクト先は悪質な Facebook アプリケーション、リモートでホストされた詐欺サイト、あるいはフィッシングサイトです。幸い、以下の例に挙げたフィッシング Web サイトは、あまり出来がよくなく、ブラウザによってはレイアウトが崩れてしまいます。

Facebook RIP scam 2.png

図 2. レイアウトが崩れた偽の Facebook ログインページ

リダイレクトされるときに、悪質な URL に関する Facebook の警告が表示されないこともあるので注意が必要です。ユーザーが Facebook の投稿にあるリンクをクリックすると、ブラウザは転送スクリプトにリダイレクトされます。Facebook が転送先の URL を不審と判断した場合には警告が表示され、ユーザーはその情報を基に投稿をスパムとして報告することができます。Web ページは警告の下にある iframe で表示されるため、ごくまれに、詐欺師が自動的にユーザーを新しいサイトへリダイレクトできる可能性もあります。そのため、悪質な Facebook アプリケーションのページに移動する前にユーザーが警告メッセージを目にするのは、1 秒にも満たない一瞬だけです。また、最終ページに行き着くまでに何度もリダイレクトが繰り返される場合もあります。

Facebook RIP scam 3.png

図 3. リンクのリダイレクト警告

ユーザーが悪質なアプリケーションをインストールしようとすると、ユーザーのデータを読み取ってタイムラインに投稿する許可が求められます。詐欺師の最大の目的は、被害者に知られないうちにユーザーの Facebook アカウントからメッセージを投稿し、この詐欺に騙される人を増やすことです。アプリケーションのインストールが終わると、詐欺メッセージがユーザーのタイムラインに投稿され、アンケート詐欺の Web ページにリダイレクトされます。

1 時間に数百人ものユーザーがいずれかのリンクをクリックしており、実際にアプリケーションをインストールした人もいます。言うまでもなく、Facebook は悪質なリンクを遮断し、悪質なアプリケーションをできるだけ早く削除することに尽力していますが、厄介なのは、犯人がスクリプトを自動化していることです。解析した各ドメインは、悪質な Facebook アプリケーションのコピーを 2,000 以上もホストしています。それぞれ名前が少しずつ異なっているため、あるアプリケーションが遮断されたら、詐欺師は悪質なリンクを変更するだけです。

Facebook RIP scam 4.png

図 4. 許可を求める詐欺アプリケーション

いつものことですが、インターネットを利用する場合は、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • ソーシャルメディアサイトで衝撃的な話を読んだときは用心し、疑ってかかる。
  • 信頼できないサイトからプラグインやツールをインストールしない。
  • コンテンツにアクセスするためのアンケートについては、回答する前に再考する。
  • ソーシャルアプリケーションをインストールするときは、要求される許可が本当に必要かどうかを確認する。

シマンテック製品をお使いのお客様は、さまざまな IPS シグネチャと URL 評価遮断サービスによって、この手の攻撃から保護されています。

Facebook で何らかの詐欺を発見した場合には、すぐに報告することをお勧めします。Facebook のセキュリティチームは現在、この手の詐欺への対策を講じており、新しい脅威が登場するたびに遮断し、削除しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????Microsoft Patch Tuesday?- 2014 ? 1 ?

      No Comments on ?????????????Microsoft Patch Tuesday?- 2014 ? 1 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、6 件の脆弱性を対象として 4 つのセキュリティ情報がリリースされています。6 件すべてが「重要」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 1 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-Jan

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS14-001 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される(2916605)

    Microsoft Word のメモリ破損の脆弱性(CVE-2014-0258)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Microsoft Word のメモリ破損の脆弱性(CVE-2014-0259)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Microsoft Word のメモリ破損の脆弱性(CVE-2014-0260)MS の深刻度: 重要

    Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

  2. MS14-002 Windows カーネルの脆弱性により、特権が昇格される(2914368)

    カーネルの NDProxy の脆弱性(CVE-2013-5065)MS の深刻度: 重要

    ユーザーモードからカーネルに渡される入力が正しく検証されないことが原因で、Windows カーネルの NDProxy コンポーネントに特権昇格の脆弱性が存在します。この脆弱性により、攻撃者がカーネルモードでコードを実行できる可能性があります。攻撃者がこの脆弱性の悪用に成功すると、特別に細工されたアプリケーションを実行し、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

  3. MS14-003 Windows カーネルモードドライバの脆弱性により、特権が昇格される(2913602)

    Win32k のウィンドウハンドルの脆弱性(CVE-2014-0262)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のウィンドウハンドルスレッドが所有するオブジェクトを正しく使用しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、昇格した特権で任意のコードを実行できる場合があります。

  4. MS14-004 Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる(2880826)

    クエリーフィルタ DoS の脆弱性(CVE-2014-0261)MS の深刻度: 重要

    Microsoft Dynamics AX にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、Dynamics AX サーバーが応答しなくなる可能性があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Snapchat Spam: Sexy Photos Lead to Compromised Branded Short Domains

      No Comments on Snapchat Spam: Sexy Photos Lead to Compromised Branded Short Domains

A few weeks after our blog post about porn and secret admirer spam targeting Snapchat users, a new spam campaign using sexually suggestive photos and compromised custom URLs is circulating on the photo messaging app.
 

image1_21.png

Figure 1. Snapchat spam
 

Each of these spam messages includes a request to “Add my kik”, along with a specially crafted user name on the Kik instant messaging application for mobile devices.
 

image2_12.png

Figure 2. Snapchat with a digital camera? It’s a trap!
 

After engaging these spam bots on Kik Messenger, this spam campaign is using a type of spam chat bot-script we discovered on Tinder last summer.
 

image3_12.png

Figure 3. Spam bot using a familiar chat script on Kik
 

An interesting discovery from this campaign is the use of compromised custom URLs belonging to small websites and popular brands. Spammers have found a way to create their own links using branded short domains in order to entice users into a false sense of security.
 

image4_6.png

Figure 4. Well-known branded short domain directs users to spam
 

The following are some of the compromised branded short domains we identified:

  • usat.ly (USA Today)
  • cbsloc.al (CBS Local)
  • on.natgeo.com (National Geographic)
  • nyp.st (New York Post)
  • on.mktw.net (Marketwatch)
  • mirr.im (Daily Mirror)
  • red.ht (Red Hat)
  • invstplc.com (Investorplace)
  • mitne.ws (MIT News)

image5_4.png

Figure 5. Stats page for compromised short URL
 

Hidden behind the branded customized URLs are affiliate marketing links directing users to sign-up for adult webcam sites.

Symantec has been working closely with Bitly to investigate and shut down any spammer use of branded short URLs. Bitly has confirmed that some spammers obtained Bitly API keys belonging to various brands. Some of the brands affected used the AddThis social bookmarking service who recently stopped requiring users to reveal their API key in plain text as part of the AddThis website embed code.
 

image6_1.png

Figure 6. Note from AddThis support page regarding API key safety
 

Public exposure of API keys gives anybody the ability to compromise accounts and, in this case, create short URLs using other people’s domains.

Users of the AddThis service should refer to this support article on how to secure API keys. Bitly javascript:void(0);users should follow Bitly API best practices to ensure the security of API keys.

The recent spam campaign targeting Snapchat users should not be surprising. Scammers and spammers will always target new and popular apps—like Snapchat—as soon as they gain a large enough user base. To prevent spam snaps from appearing in your Snapchat feed, Symantec recommends users change their Snapchat privacy settings to receive snaps from “My Friends” only and use caution when receiving unsolicited messages or friend requests.

Win32/64:Blackbeard & Pigeon: Stealthiness techniques in 64-bit Windows, Part 1

      No Comments on Win32/64:Blackbeard & Pigeon: Stealthiness techniques in 64-bit Windows, Part 1

At the turn of the year we started to observe a Trojan, not much discussed previously (with a brand new final payload). It has many interesting aspects: It possesses a complex structure containing both 32-bit and 64-bit code; it achieves its persistence with highly invasive methods; and it is robust enough to contain various payloads/functionalites. […]

.Zip Attachment Spam Makes a Grand Return

      No Comments on .Zip Attachment Spam Makes a Grand Return
After a long hiatus, spammers are once again using an old trick, where they attach a .zip file to trick the user into executing the compressed malware. The chart below shows the number of spam messages with .zip attachments over the last 90 days in Symantec’s Global Intelligence Network (GIN).
 
figure1_6.png
Figure 1. Spam messages with .zip attachments over the last 90 days
 
On January 7, 99.81 percent of the .zip attachment spam that came into Symantec’s GIN had the file name “BankDocs-”  followed by 10 hexadecimal characters.
 
figure2_7.png
Figure 2. Email with “BankDocs-” .zip attachment
 
On January 8, 99.34 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Invoice-E_” followed by 10 hexadecimal characters.
 
figure3_3.png
Figure 3. Email with “Invoice-E_” .zip attachment
 
On January 9, 98.94 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Early2013TaxReturnReport_” followed by 10 hexadecimal characters.
 
figure4_2.png          
Figure 4. Email with “Early2013TaxReturnReport_” .zip attachment
 
On January 10, 98.84 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “[BRAND NAME REDACTED]_December_2013_” followed by 10 hexadecimal characters.
 
figure5_0.png
Figure 5. Email with “[BRAND NAME REDACTED]_December_2013_” .zip attachment
 
While these examples have different file names and MD5s, they all carry the same malware, identified by Symantec as Trojan.Zbot. This Trojan has primarily been designed to steal confidential information from the compromised computer. 
 
It appears that the large attack has subsided for now, as the spam volume returned to normal levels after January 10, but it is just a matter of time before spammers organize another large campaign. Users should keep their antivirus software up-to-date and should not open attachments from unknown sources.

????????? Web ???? Gongda ??????????????

      No Comments on ????????? Web ???? Gongda ??????????????

シマンテックは最近、日本のある出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な iframe がインジェクトされていたことを確認しました。この出版社は、書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手です。

確認できた限りで、この出版社のサイト上で少なくとも 3 つのファイルが感染していました。

 figure1_6.png
図 1. 出版社のサイトで確認された悪質な iframe

この悪質な iframe は複数のページにわたって存在し、ホームページにも仕掛けられていました。シマンテックの遠隔測定によると、最初の被害者がサイトにアクセスしたのは、太平洋標準時 2014 年 1 月 5 日の 22:00(日本標準時 2014 年 1 月 6 日 15:00)頃で、このセキュリティ問題が修正されたのは、太平洋標準時 1 月 8 日遅く(日本標準時 1 月 9 日夕方以降)になってからでした。

ユーザーが出版社のサイトにアクセスするとすぐに、悪質な iframe は悪用ツールキットがホストされている別の Web サイトを読み込みます。悪用ツールキットは Gongda であると特定されており、今回の攻撃では以下の 5 つの脆弱性を悪用していました。

•    Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507)
•    Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
•    Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
•    Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
•    Oracle Java SE に存在するメモリ破損の脆弱性(CVE-2013-2465)

figure2_4.png
図 2. 攻撃のシナリオ

脆弱性の悪用に成功すると、Infostealer.Torpplar がダウンロードされます。これは、日本のユーザーから情報を盗み出すために作成されたマルウェアで、以下のサイトを含む日本語の Web サイトがウィンドウに表示されているかどうかを監視します。
•    2 つのオンラインバンキングサイト
•    3 つのオンラインショッピングサイト
•    3 つの Web メールサイト
•    3 つのゲーム/動画 Web サイト
•    14 のクレジットカードサイト

注目に値するのは、オンラインバンキングサイトが 2 つしか標的になっていない点で、そのうち 1 つは地方銀行です。ほとんどの銀行は、Trojan.Zbot といった高度なマルウェアに狙われていることを自覚しているため、オンラインユーザーのために幾重にもわたって保護や検証の手段を実装しています。攻撃者もその点を承知しており、金銭になりそうな情報を扱っていながら基本的なセキュリティ対策しか講じていない他のサイトを意図的に狙ったものと考えられます。

盗み出された情報は、あらかじめ定義された Web サイトに平文で送信されるため、傍受されると容易に読み取られてしまいます。

この攻撃で使われている Gongda 悪用ツールキットによって試みられる悪用を遮断するために、シマンテックは以下の IPS シグネチャを提供しています。
 
•    Web Attack: Gongda Exploit Kit Website
•    Web Attack: Gongda Exploit Kit Website 2

Infostealer.Torpplar の検出定義だけでなく、この攻撃に伴うファイルに対して以下のウイルス検出定義も用意しています。

•    Trojan.Webkit!html
•    Trojan.Malscript
•    Trojan.Maljava
•    Trojan.Swifi

このような攻撃から保護するために、最新のパッチを適用し、ウイルス検出定義と IPS 定義を常に最新の状態に保つことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Scammers Exploit Vacation Hangover with Malware Attacks

      No Comments on Scammers Exploit Vacation Hangover with Malware Attacks

It is not surprising to see scammers exploiting the laxity of Internet users.

Symantec has observed another malware wave over the past few days following the holiday season, as many users check their utility and official emails post-vacation to see if they missed out important ones. This is where spammers take their chances that users will click on malicious links in their emails.

In this wave of attacks, spammers are taking advantage of users’ urgency to open a link and respond to the email instantaneously. When this happens, the malware infects users’ computers and extracts confidential data.

Last week, I too, received some delivery failure notification emails that claim to be from well-known stores with an online presence, stating that I missed out a couple of parcels while I was away on vacation.

At first, I wondered how it happened since I did not place any orders, and the thought that they might be surprise gifts also crossed my mind.

However, just before clicking the link, I checked the status bar only to find that the link had been spoofed. This raised my level of suspicion, which was further confirmed by the language and grammatical errors used in the email, as shown in the following figure:

figure1_10.png

Figure 1: A spam email with grammatical errors and a malicious link

Similarly, there was an email in which the spammer masquerades another well-known brand, making the message appear to be a statement, while embedding a malicious link.

Fortunately, there was a goof-up between the template used by the brand and the email headers which belonged to another email, with no association between both. Upon further inspection, it was found that the embedded link contained a malware.

The spam run also used a hijacked URL as shown in the following figure:
 
figure2_9.png
Figure 2. Another spam email on delivery failure

I bumped into another email which invited me to attend the funeral of someone I did not know. I began to check if I knew the family by any chance, or if it was a college friend, or a neighbor, but then discovered that the link in the email was malicious.

figure3_5.png
Figure 3: A spam email on a funeral notice

Such spam emails require users to adopt a two pronged approach–to be on guard while sieving through emails, and be able to see through the mistakes made by scammers.

Some of which could be a coercion to click on a link immediately, but they are full of grammatical errors, faulty sentence structures, tactical errors of spoofing one retail operator and associating the email headers with a competitor. Another tactic employed in such spams is the use of hijacked domains and URLs which are rotated and recycled over time, but have no association with the brands or entity.

While you are overcoming your post-holiday blues, Symantec recommends that you exercise diligence when dealing with your emails, and not let scammers exploit your vacation hangover.

2916652 – Improperly Issued Digital Certificates Could Allow Spoofing – Version: 2.1

      No Comments on 2916652 – Improperly Issued Digital Certificates Could Allow Spoofing – Version: 2.1

Revision Note: V2.1 (January 15, 2015): Advisory revised to announce a detection change in update 2917500. This is a detection change only. Customers who have already successfully updated their systems do not need to take any action.
Summary: Microsoft is aware of an improperly issued subordinate CA certificate that could be used in attempts to spoof content, perform phishing attacks, or perform man-in-the-middle attacks. The subordinate CA certificate was improperly issued by the Directorate General of the Treasury (DG Trésor), subordinate to the Government of France CA (ANSSI), which is a CA present in the Trusted Root Certification Authorities Store. This issue affects all supported releases of Microsoft Windows. Microsoft is not currently aware of attacks related to this issue.