Twitter ???????????? URL ??????????????

      No Comments on Twitter ???????????? URL ??????????????

Twitter のダイレクトメッセージで URL 送信が制限されているという報道(リンク 1リンク 2)があったばかりですが、スパマーは早くも先週末、この制限をすり抜ける方法を発見して、ダイエット薬のスパムリンクを送りつけています。

Fig1_5.png

図 1. スパムリンクを含むツイートをユーザーに送りつけるダイレクトメッセージ

このスパムが見つかったきっかけは、こちらが一方的にフォローしていただけのユーザーから突然フォローされ始めたことでした。新しくフォローされたという通知を受け取った直後に、そのユーザーからダイレクトメッセージが届いたのです。

Fig2_3.png

図 2. ダイレクトメッセージを通じて Twitter ユーザーに送信される悪質なリンク

通常の Twitter スパムとは異なり、このダイレクトメッセージで見つかるリンクは Twitter にアクセスします。リンク先は、あるツイートであり、そのユーザーが自身のアカウントに投稿したものです。

そのツイートに含まれるリンクをクリックすると、典型的なダイエット薬スパムに誘導されますが、これは数年前からさまざまなソーシャルネットワークで確認されているものです。

Fig3_3.png

図 3. リンクをクリックするとダイエット薬スパムの Web ページに誘導される

Twitter 上で「I recommend site(私のお勧めサイト)」というキーワードを検索すると、似たようなリンクをツイートした Twitter ユーザーが多数見つかります。つまり、それらのアカウントも乗っ取られており、そのフォロワーたちが同じようなダイレクトメッセージを受け取っているということです。

Fig4_1.png

図 4. ダイエット薬スパムのリンクを含むツイート

さらに調べたところ、Twitter では現在、bit.ly や TinyURL などの URL 短縮サービスへのリンクを遮断していることが判明しました。ダイレクトメッセージで、URL 短縮サービスのリンクを送信しようとしたところ、エラーメッセージが表示されました。

Fig5_1.png

図 5. ダイレクトメッセージに関する変更を通知する Twitter のサポート記事

Twitter のダイレクトメッセージでこのようなリンクが遮断されているのは、スパマーがスパムドメインのリンクを隠蔽するために URL 短縮サービスを使っているからでしょう。Twitter のヘルプに追加されている通知では、バックエンドを再構築中であるため一部の URL が送信できなくなっていると説明されています。こうした状況にもかかわらず、スパマーは攻撃を続けるための抜け道を見つけたということです。

自分や知人がツイートまたはダイレクトメッセージでスパムリンクを送信してしまったこに気付いた場合には、こちらの手順に従って、アカウントが乗っ取られないように注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ransomcrypt: ??????

      No Comments on Ransomcrypt: ??????

トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。

Fig1_4.png

図 1. Trojan.Ransomcrypt.F の支払い要求画面

Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。

Fig2_2.png

図 2. Trojan.Ransomlock.F の感染分布図

初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。

Fig3_2.png

図 3. Ransomcrypt の DNS 要求

シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。

作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。

Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。

Fig4_0.png

図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン

メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。

マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。

Fig5_0.png

図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン

Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Targeted Attacks in 2013

      No Comments on Targeted Attacks in 2013

It can all start with what looks like an innocuous email containing a link to a potential job opportunity. Or perhaps it’s an unexpected phone call from someone claiming to be a high-ranking employee, asking you to process an invoice sent by emai…

AVAST team gets together to work and to celebrate!

      No Comments on AVAST team gets together to work and to celebrate!

The release last week of the new #avast2014 became a great opportunity to get our global team together.  Members of the Social Media and Communication team met in the HQ of AVAST Software in beautiful Prague. Our team normally works remotely and its members are spread in different countries: Czech Republic, USA, Spain, and Germany. […]

Spammers Bypass Twitter’s URL Restrictions in Direct Messages

      No Comments on Spammers Bypass Twitter’s URL Restrictions in Direct Messages

Following media reports that Twitter has restricted URLs in direct messages, spammers found a way around this restriction this weekend in order to push diet pill spam links.

Figure 1. A direct message sends users to the tweet containing the spam link

Ransomcrypt: A Thriving Menace

      No Comments on Ransomcrypt: A Thriving Menace

While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…

Win32:Reveton-XY [Trj] saves hundreds of computers worldwide and cybercriminals know it!!!

      No Comments on Win32:Reveton-XY [Trj] saves hundreds of computers worldwide and cybercriminals know it!!!

It has been more than a year, since we last time reported about Reveton lock screen family. The group behind this ransomware is still very active and supplies regularly new versions of their ransomware. Recently we obtained a heavily obfuscated sample. As in most other cases we started with the examination of the obfuscated sample. […]

????????????????????????

      No Comments on ????????????????????????

寄稿: Binny Kuriakose

米国では、予算不成立の影響を受けて政府機関の大部分が閉鎖しているため、経済成長にも影響が出始めています。政府機関職員の多くが給与未払いのまま勤務を続けざるをえず、一部では無期限の一時帰休をとる事態に陥っています。

シマンテックは、政府機関の一部閉鎖が発表された直後から、その被害者を標的としたスパム活動を確認しています。これまでにもスパマーが景気の停滞を悪用しようとすることはありましたが、今回は、突然の政府閉鎖で市民が苦しめられている危機的な財政状況が直接狙われています。こうした事態を収束させようとしている上院の政策を考えると、これはおそらく、政府が閉鎖を解除する前にもっと荒稼ぎしておこうというスパマーの土壇場の試みなのでしょう。

この新手のスパムは、被害者を欺いて融資を申請させようという手口で、必然的に個人情報をスパマーに開示することになります。電子メールは、融資の処理から入金までがわずか 90 秒間で完了すると、その手軽さを謳っています。電子メールの件名も、被害者に近しい人から紹介があったかのように見せかけています。以下に、この攻撃で使われているメールヘッダーの例を示します。

差出人: “[名前]” <hufuf@[ドメイン]>
件名: Your name was mentioned(お名前をご紹介いただきました)

Figure1_3.png
図 1. 米政府機関閉鎖の被害者に融資を持ちかけるスパムメール

電子メールの内容は、不安を感じている被害者の気持ちをうまくつかむように工夫されています。たとえば、政府機関の閉鎖が続くかぎり財政的な支援があるといった内容です。電子メール本文に記載されているリンクをクリックすると別のページにリダイレクトされ、希望の融資金額を入力するよう求められますが、さらにページを進むと個人情報を入力するよう指示されます。
 
Figure2_3.png
図 2. 融資を勧誘する Web サイト
 

Figure3_2.png
図 3. ユーザーの個人情報を求めるページ

このスパムは、困り果てている被害者を狙ってきます。短時間で現金が手に入るという期待は抗しがたいほど魅力的であり、情報の足りない被害者は、まんまとこの詐欺に引っかかってしまいます。シマンテックは、スパマーが次々と繰り出してくる新しい手口を警戒し、スパムをスパムと見抜くための情報の提供を続けていく予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????

      No Comments on ????????????????????????????

cubes_concept02.png

ハリウッド映画を信じるなら、私たちはやがてロボットだらけの世界に住むようになります。ゾンビだらけの世界よりは、ありそうな話です。未来の予測図では、いたる所にロボットが存在します。スクリーンの中では、人工知能が世界征服を企てるという筋書きも定番であり、別形態に変形するロボットや自己修復の機能を持つロボットもすっかりおなじみになりました。残念ながら、ヘビーメタルのサウンドトラックに合わせてスローモーションで宙返りしながら自動車が戦闘ロボットに変形する、という段階には達していませんが、それに近づいていることは間違いありません。MIT の研究者が先日発表した M-Blocks という新モデルは、自己組み立て式ロボットの新たな一幕を象徴する刺激的な作品でした。

MIT が開発した立方体のモジュール型ロボットは、内部のはずみ車を使って自らの配置を変えます。はずみ車が生み出す瞬間的な推進力によって各モジュールは自在な方向に進み、磁力で連結します。モジュールが跳び上がって移動できるほどの強力な勢いを生むエネルギーを発生することもできます。立方体のモジュールで組み上がるのはまだ原始的な形にとどまり、残念ながら巨大な戦闘ロボットになったりはしませんが、そもそもの目標がそこにはありません。研究者が目指しているのは、各モジュールが自律的に動作することです。現在のプロトタイプは外部から制御されており、無線でコマンドを受信しています。

ここでセキュリティ研究者として気になるのは、言うまでもなく、こうしたモジュール型ロボットのセキュリティがどうなるかという点です。と言ってもご心配なく。何も、スカイネットがこの世界を支配するといった話ではありません。今はまだプロトタイプの段階にすぎないので、今後のモデルでどんな動作が可能になるかを予測しても、それは純粋な思索の域を出ませんが、ひとつ考えられる課題は、不正なモジュールを確実に識別できるかどうかでしょう。考えてもみてください。不正なロボットモジュールがシステムに混入したら、他のモジュールがすべて混乱し、形成しようとしていた構造は一瞬にして崩れてしまうのです。信頼できないノードのネットワークで信頼を築くというのは、容易に解決できる問題ではありません。逆に新しいモジュールの追加が必要になるかもしれず、それらがシームレスに統合されれば理想的です。

現在の自己組み立て式モジュール型ロボットは、コマンドを送受信する中央制御ユニットを持っており、モノのインターネット(IoT)にたとえることができます。IoT とは、単純に言えば、従来と異なるデバイスのグループをインターネットに接続することであり、大きな可能性を秘めた分野として注目を集めています。IoT の中で最も実用的なのがスマート家電機器で、一部はすでに商品化されています。現在市販されているロボット掃除機は、自己組み立て機能こそありませんが、ロボットには違いありません。

IoT に関しては、すでにセキュリティ業界から多大な関心が寄せられており、IoT をテーマとして取り上げるセキュリティ関連のカンファレンスも増えています。たとえば、ダニエル・ブエンテロ(Daniel Buentello)氏は今年の DerbyCon で、リモートコントロール式の電源スイッチを完全に乗っ取る方法についてプレゼンテーションを行いました。電灯のスイッチをオン/オフするだけなら特に脅威とは感じられませんが、窓やドアを開けられるとなれば驚きは大きくなります。しかも、これは可能性のごく一部にすぎません。冷蔵庫がポートスキャンを実行する、あるいはムード照明が他の照明器具にマルウェアを感染させるというシナリオは、どれも現実性があります。隣人によってトースターがリモートで侵入を受け、そこからの命令でステレオの電源を切られたりする、そんな日が来るかもしれないのです。そうした家電機器は厳重なセキュリティを想定して製造されているわけではないので、悪質なコードが実行されても、検出や除去は難しい可能性があります。

シマンテックは、モノの接続が進むこれからの世界で安全に過ごせるように、この分野の発展を慎重に追跡しています。冷蔵庫がコーヒーメーカーと共謀してトースターに DDoS 攻撃を仕掛けるなどという事態が近い将来に起きないことを祈っています。そんな 1 日の始まりは誰しも願い下げですから。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Offer Loans to US Government Shutdown Victims

      No Comments on Spammers Offer Loans to US Government Shutdown Victims

Contributor: Binny Kuriakose

The funding gap in US, which resulted in a shutdown of a large portion of the United States federal government, has  started affecting economic growth in the country. Large portions of the federal workforce were required to work without immediate pay, while some were indefinitely furloughed.

Symantec recently uncovered spam campaigns, which started promptly following the shutdown announcement, targeting the affected victims. In the past,  spammers tried to take advantage of the general gloom, but now they are directly targeting the raw financial state the sudden shutdown has left people in. This could probably be a last ditch effort to haul in more spoils before the US shutdown is lifted, especially in light of the senate’s deal, which is currently being made to end the shutdown.

This new wave of spam is designed  to manipulate  victims into applying for loans and inevitably disclose their personal details to the spammers. The email appeals  to victims by  offering  quick loan processing and delivery within a time span as short as 90 seconds. The email’s subject line  also makes it look as though the names were suggested by someone close to the victims. The following is a sample email header used in this campaign:

From: “[NAME]” <hufuf@[DOMAIN]>
Subject: Your name was mentioned

Figure1_3.png
Figure 1. Spam email promising US shutdown victims a loan

The email content is tweaked strategically at  the right places to make the victims feel comfortable. For example, offering financial help as the US shutdown continues. The link in the email body takes the victim to a  page asking for the amount they wish to be advanced for the promised loan, and subsequently to another page asking for the user’s personal details.
 
Figure2_3.png
Figure 2. Website promoting loans
 
Figure3_3.png
Figure 3. Website asking for user details

This spam is designed to hit the victims’ when they are most vulnerable. The promise of quick cash is too tempting to ignore, and ultimately, ill-informed victims are bound to fall for this scam. Symantec is on the lookout for new tricks, which spammers are pulling out of their sleeve and keeping the public armed with information to see these for what they are – scams.Spammers Offer Loans to US Government Shutdown Victims.