Tag Archives: Email Security.cloud

Introducing DMARC Validation in Email Security.cloud

Hacker Medic March 27, 2014 No Comments

One of the oldest tricks in the book for spammers is to spoof or forge the “From” address so that the email appears to come from a legitimate source.

This month, Symantec is introducing DMARC Validation as a free upgrade for Email Security.cloud customers, further enhancing our protection against these types of spam, targeted attacks and phishing messages.

Big, popular brands are often used in phishing and scam email attacks and I’m sure you’ve seen some of them first hand.
This is why over 80,000 domains have published DMARC policies and since 2011 it has been quickly adopted by some of the largest global brands and email senders such as Paypal, Twitter, Outlook.com, Yahoo! Mail, Facebook, LinkedIn and Bank of America.

DMARC.org reports that more than 25 million email messages spoofing PayPal were detected and rejected by DMARC during the 2013 holiday buying season and Twitter reports that roughly 110 million messages per day were spoofing its domains prior to deploying DMARC, showing this implementation is effective.

“The attention so far has been on how DMARC helps protect consumers and big brand-owners, but as adoption rises it also offers improved protection to employees at organizations big and small.” said Steven Jones, Secretary of DMARC.org. “A lot of companies have been asking me about vendor-supported DMARC filtering to help protect their employees, so this is definitely a growing need in the market.”

Symantec Email Security.cloud customers will see the new configuration options in the admin interface, on or around March 29, 2014 and we encourage all customers to enable it as soon as they can.
You can enable DMARC Validation in the Spoofed Sender Detection settings located within the Antispam configuration in ClientNet.

Further technical information on DMARC can be found at DMARC.org.

As attackers and miscreants try new ways to circumvent security, it’s vitally important that a security product or service continually evolves to protect against the latest threats.
Symantec’s cloud based Email Security offering is always up to date and doesn’t burden customers with software or hardware upgrades to get the latest benefits.
We track our own performance and publish metrics regularly against our SLAs online.

Symantec’s comprehensive security expertise, vast global intelligence and portfolio offer organizations proactive, targeted attack protection across the endpoint, gateway and data center.

Darkmoon ?????????????????????????????????

Hacker Medic March 3, 2014 No Comments

ソチオリンピックはどうやら平穏に幕を閉じたようですが、この一大イベントがテロリストに狙われる可能性についてメディアの注目と懸念が集まっていたことを考えると、サイバー犯罪者がその不安心理を突いて、興味を示しそうなユーザーを標的にしていたのも予想外のことではありません。

開催期間中に、シマンテックはソチオリンピックの話題を餌にした標的型の電子メール攻撃を複数確認しました。確認された電子メール攻撃は Symantec.Cloud サービスによって遮断されています。この攻撃のある例では、標的のユーザーに次のような電子メールが送り付けられました。

図 1. ソチオリンピックを狙うテロの脅威に関する内容と称する電子メール

この例では、攻撃者はソチオリンピックを狙うテロの脅威を題材にしたソーシャルエンジニアリングの手法を使って、ユーザーを欺こうとしていました。電子メールの作りは素人然としていますが、内容で気を引いてしまえば添付ファイルを開かせるのは簡単かもしれません。被害者がうかうかと添付ファイルを開いてしまうと、コンピュータは Backdoor.Darkmoon に感染します。Darkmoon はよく使われているリモートアクセス型のトロイの木馬（RAT）です。G20 サミットが餌に使われた経緯をお伝えした最近のブログや、2011 年のホワイトペーパー「The Nitro Attacks」（英語）でも解説しているとおり、標的型攻撃に頻繁に使われています。

ソチオリンピックを題材にした別の標的型攻撃では、攻撃者から次のような電子メールが届きました。

図 2. ソチオリンピックにおける軍事協力活動に関する内容と称する電子メール

この例でも、攻撃者はソチオリンピックをめぐる軍事協力活動を題材にしたソーシャルエンジニアリングの手法を使っていますが、今回のペイロードは Trojan.Wipbot です。これも、類似の標的型攻撃に関連したトロイの木馬で、Windows の特権昇格のゼロデイ脆弱性を悪用した攻撃で使われていました。

こうした攻撃によって、迷惑メールを受け取った場合に依然として警戒が必要であることが改めて明確になりました。従来の手口が強化されることもあります。標的型攻撃の攻撃者は最新のニュースやイベントをすかさず悪用し、ソーシャルエンジニアリングの成功率を少しでも高くしようとします。今回の攻撃で、標的型の電子メール攻撃が近い将来に一掃される気配はまったくないということも明らかになりました。

このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Sochi Olympics Terrorism Fears Used As Bait for Targeted Darkmoon Campaigns

Hacker Medic February 28, 2014 No Comments

While the Sochi Winter Olympics may now be over without incident, considering all of the media attention and fears surrounding a potential terrorist attack at the event, it should come as no surprise that cyberattackers were preying on these uncertainties to target potential victims of interest.

During the games, Symantec saw multiple targeted email campaigns that used Sochi Olympics themes to bait potential victims. These observed email campaigns were blocked by our Symantec.Cloud service. In one such campaign, we saw that targets were being sent the following email.

Figure 1. Email purporting to relate to a terrorist threat at the Sochi Olympics.

In this campaign, attackers were using the social engineering ploy of a terrorist threat at the Sochi Olympics to lure in their victims. While the email does not look professional, the curiosity for the content can still be enough to persuade an individual to open the attachment. If a victim fell prey to opening the attachment, their computer became infected with Backdoor.Darkmoon. Darkmoon is a popular remote access Trojan (RAT) which is often used in targeted attacks, as seen in a recent Symantec blog about how the G20 Summit was used as bait in targeted emails and in the 2011 Symantec whitepaper, The Nitro Attacks.

In another targeted campaign using the Sochi Olympics theme, we observed the following email that was being sent by an attacker to targets of interest.

Figure 2. Email purporting to relate to military co-operation at the Sochi Olympics

Again, as seen in the email, the attackers used the social engineering ploy of military co-operation around the Sochi Olympics. This time, the payload was Trojan.Wipbot. This Trojan is associated with another similar targeted attack campaign, which included an attack that used a Windows zero-day elevation of privilege vulnerability.

These attacks highlight the ongoing need for vigilance when receiving any unsolicited emails. They also reinforce what is already known — targeted attackers are quick to make use of the latest news or events to enhance the chances of success for their social engineering ploy. The campaigns also highlight how targeted email attacks are showing no sign of dissipating anytime soon.

As always, we advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.

?????????????????????????????????????

Hacker Medic February 7, 2014 No Comments

ポール・ウォーカーさんが交通事故で亡くなったのは、ほんの数カ月前のことです。最近では、スパマーやマルウェア作成者が有名人の死亡記事を悪用してマルウェアを拡散する手口が多用されています。今回の場合、始まりはポール・ウォーカーさんの車が炎上している動画へのリンクを記載した電子メールですが、そこには悪質なファイルへのリンクが含まれています。

最近大量に確認されている電子メールの場合、送信者は、ウォーカーさんとカーレースをしていたとされているダッジバイパー GT を発見しようと訴えています。この電子メールでは、情報を持っていたらそこに書かれた番号に電話するように、そうでなければ添付されているファイルを開いてバイパー GT の運転手の画像を確認するよう求めます。シマンテックが確認したどのサンプルでも、バイパー GT の運転手の特定につながった場合に費用の精算や報奨金が約束されている点は同じです。

今回の攻撃の特徴は、スパムフィルタをすり抜けるために件名と本文が定期的に書き換えられている点にあります。攻撃者は、本文や件名、添付ファイルの名前に受信者の名前を使って、電子メールを特定の個人宛てのものに見せようとしているのです。

実行可能ファイルはそれぞれ、送信先の電子メールアドレス専用に作成され、送信の直前にコンパイルされています。送信者の電子メールアドレスは必ず aol.com の電子メールアカウントであり、ハッキングまたは他の方法で危殆化したもののようです。これに感染してしまうと、アドレス帳からアドレスが収集されて、さらに別の個人宛ての電子メール攻撃が連続します。

図 1. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール（2014 年 1 月 30 日付）

図 2. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール（2014 年 1 月 31 日付）

悪質なファイルを実行すると、このファイルを実行するには 32 ビットまたは 64 ビットのコンピュータが必要であるというエラー通知が送信されます。また、ファイルを実行する十分な権限がないとも書かれていますが、実際にはマルウェアがバックグラウンドで実行され続けています。このトロイの木馬は、名前の似たドメインのリストを使った DNS クエリーを実行し、DNS クエリーの戻り値を取得すると、その URL に接続して、次のディレクトリにファイルをダウンロードします。

“%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

ファイル（kskzjmtypb.exe）がダウンロードされると、それを実行して p9p-i.geo.vip.bf1.yahoo.com に接続し、今度は qr1aon1tn.exe をダウンロードします。この実行可能ファイルが実行されると、次のファイルが投下されます。

“%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

シマンテックは、このマルウェアを Trojan Horse として検出します。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策（ベストプラクティス）に従うことをお勧めします。

迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
セキュリティソフトウェアを常に最新の状態に保つ。
スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

Paul Walker’s Death Used to Spread Personalized Trojan Horses

Hacker Medic February 5, 2014 No Comments

It was only a few months ago that Paul Walker that left us in a fiery car accident. These days it is common for spammers and malware writers to use a celebrity’s death to spread malware. In this case, it started with emails with links to a video of Paul Walker’s car on fire, but instead contained a link to a malicious file.

In the latest slew of emails, the sender makes a plea to the victim to find a Dodge Viper GT that was supposedly racing with Paul Walker’s car. The email asks that anyone with information call a number in the email or open the attached file to view a picture of the Viper GT’s driver. In every sample we have dealt with there is always a promise of reimbursement or compensation for helping capture the Viper GT’s driver.

These attacks are unique because of the regular change of subject lines and body text to bypass spam filters. The attacker tries to personalize the email with the recipient’s name in the body, subject, or attached file name.

Each executable file is made specifically for the email address it is sent to and is compiled just before the email is sent. The sender’s email address is always an aol.com email account that has most likely been hacked or otherwise compromised. Whenever a user is compromised, their address book is harvested to continue the chain of personalized emails.

Figure 1. Email about Paul Walker’s death with malicious attachment from January 30, 2014

Figure 2. Email about Paul Walker’s death with malicious attachment from January 31, 2014

Once the malicious file has been executed an error notification is sent indicating that a 32-bit or 64-bit computer is needed to run the file. It may also indicate that the user does not have sufficient permissions to run the file even though the malware continues to run in the background. The Trojan will start to perform DNS queries through a list of domains with similar names until the malware gets a DNS query return and then it will connect to that URL to download a file into the following directory:

“%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

Once the file (kskzjmtypb.exe) is downloaded, it runs and connects to p9p-i.geo.vip.bf1.yahoo.com to download qr1aon1tn.exe. When this runs, it drops the following file:

“%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

Symantec detects this malware as Trojan Horse.

Symantec advises users to be on their guard and to adhere to the following security best practices:

Exercise caution when receiving unsolicited, unexpected, or suspicious emails
Avoid clicking on links in unsolicited, unexpected, or suspicious emails
Avoid opening attachments in unsolicited, unexpected, or suspicious emails
Keep security software up-to-date
Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

Symantec Receives Eight Honors from Information Security magazine and SearchSecurity.com 2013 Readers’ Choice Awards

Hacker Medic October 2, 2013 No Comments

Information Security™ magazine and SearchSecurity.com recently announced the winners of its 2013 Reader’s Choice Awards, which were selected based on feedback by customers who were asked to assess products deployed within their organizations. We’re excited to announce that Symantec was honored with eight awards – four Gold, two Silver and two Bronze –demonstrating significant representation across our diverse portfolio of market-leading security solutions.

Included below is a complete list of Symantec’s wins, which will be featured in the October edition of Information Security magazine and are highlighted online at SearchSecurity.com.

The Information Security magazine and SearchSecurity.com 2013 Readers’ Choice Award winners were selected based on extensive, in-depth discussions and interviews between the editors of Information Security magazine and SearchSecurity.com, and over 1,000 information security executives and managers. These executives and managers were asked to rate products deployed within their organizations from a listing of more than 350 products. The editors used these scores to determine Gold, Silver and Bronze award winners for the industry’s best security products.

For more information and a detailed list of categories and winners, please visit http://searchsecurity.techtarget.com/essentialguide/Security-Readers-Choice-Awards-2013#guideCategory19.

Information Security magazine and SearchSecurity.com 2013 Readers’ Choice Awards

Best of Endpoint Security

Gold: Symantec Endpoint Protection

Best of Data Loss Prevention

Gold: Symantec Data Loss Prevention

Best of Email Security

Gold: Symantec Messaging Gateway powered by Brightmail

Best of Authentication

Gold: Symantec User Authentication Solutions

Silver: Symantec Managed PKI for SSL

Best of Cloud Security

Silver: Symantec Email Security.cloud

Bronze: Symantec O3

Best of Web Security

Bronze: Symantec Web Security.cloud

.avi ? .mp3 ???????????????

Hacker Medic October 1, 2013 No Comments

ランダムな YouTube リンクを電子メールの本文に記載し、その URL で .avi または .mp3 の拡張子を使って YouTube を悪用する、新しいスパムの手口が確認されています。以前に「YouTube を騙る医薬品スパマー」というブログでお伝えしたように、医薬品業界もこのスパムの標的になっています。

今回の新しいスパムでリンクをクリックすると、偽の医薬品販売サイトにリダイレクトされます。シマンテックが調べたスパムサンプルからは、.avi と .mp3 の拡張子を使った以下のような URL が確認されています。

http://www.[削除済み].com/Fox.avi

http://www.[削除済み].com/Yamamoto.avi

http://www.[削除済み].vn/Larue.avi

http://www.[削除済み].com/McAlear.avi

http://www.[削除済み].ru/87342.mp3

http://www.[削除済み].ru/327182.mp3

http://www.[削除済み].fr/472738.mp3

http://www.[削除済み].com/165137.mp3

図 1: .avi 拡張子を使ったスパムメール

図 2: .mp3 拡張子を使ったスパムメール

図 3: 偽の医薬品販売サイト

今回のスパム攻撃で使われている件名の例を以下に示します。

件名: Here Comes the Sun 1969（ヒア・カムズ・ザ・サン、1969 年）
件名: Soldier of Love (Lay Down Your Arms) 1963（ソルジャー・オブ・ラヴ（レイ・ダウン・ユア・アームズ）、1963 年）
件名: For No One 1966（フォー・ノー・ワン、1966 年）
件名: Misery 1963（ミズリー、1963 年）
件名: Lucy in the Sky with Diamonds 1967（ルーシー・イン・ザ・スカイ・ウィズ・ダイアモンズ、1967 年）
件名: From Me to You 1963（フロム・ミー・トゥ・ユー、1963 年）
件名: Look! I found this!（ほら、見つけたよ!）

ドメインはヨーロッパで登録されたもので、サーバーの所在地はウクライナでした。スパム攻撃の YouTube リンクでこのような拡張子を使っているのは、フィルタをすり抜けたうえで、拡張子が表す種類のファイルが開くものと期待させてユーザーを欺くためです。

迷惑メールや心当たりのない電子メールには注意し、ウイルス対策のシグネチャを定期的に更新して個人情報が漏えいしないように保護することをお勧めします。シマンテックでは、最新の脅威に関する情報をお届けできるよう、スパム攻撃に対して厳重な監視を続けています。

Use of .avi & .mp3 Extension Leads to Pharmacy Spam

Hacker Medic September 30, 2013 No Comments

Symantec has observed a new spam tactic targeting YouTube using .avi and .mp3 extensions in URLs by placing a random YouTube link in the email content. This spam threat is also targeting the pharmaceutical industry, as we have previously observed in th…

Los Cibercriminales Aman el Futbol y las Redes Sociales

Hacker Medic October 18, 2012 No Comments

Recientemente, los phishers han tomado un gran interés por los temas relacionados con el futbol. Después de que hace unas semanas Symantec descubriera algunos engaños y estafas relacionadas con la FIFA World Cup de 2014, ahora los ciberatacantes pusieron sus ojos en el futbolista Lionel Messi.

A finales de septiembre de 2012, Symantec observó ataques de phishing asociados con temas de redes sociales y en varios de ellos se puede ver que aparece Lionel Messi. Los sitios de phishing identificados estaban hospedados en servicios de hosting gratuito en la web.

En el primer ejemplo, en la imagen de fondo de pantalla del sitio de phishing se podía ver a Lionel Messi y el tema que se promovía hacía alusión al club de fútbol FC Barcelona, a diferencia del sitio legítimo en donde no se incluye un tema. Así, el sitio solicitaba a los usuarios que iniciaran su sesión con el fin de obtener acceso a la página de Messi en dicha red social. En este caso, esto resultó ser sólo una estrategia y no representaba ganancia económica para los usuarios de la página de phishing ya que, una vez que el usuario daba su nombre y contraseña, el sitio de phishing los redirigía al sitio legítimo dentro de la red social en cuestión.

En otro ejemplo, se identificó un sitio de phishing que contiene temas atractivos denominados “Color”. El mensaje de la página de phishing informaba a los usuarios que podían cambiar el fondo de pantalla o tema de su página de perfil en la red social en cuestión con solo introducir sus datos para inicio de sesión. En este caso, los usuarios víctimas de estos sitios de phishing, le habrían dado a los estafadores la oportunidad de robarles con éxito y de manera sencilla su información de usuario y contraseña, misma que podría usarse en un caso de robo de identidad.

Symantec recomienda a los usuarios de Internet seguir las mejores prácticas para evitar ser víctima de ataques de phishing:

• No dar clic en enlaces sospechosos incluidos en correos electrónicos.
• Evite proporcionar información personal sensible al responder un correo electrónico
• Nunca ingrese información personal sensible en un pop-up
• Al introducir información personal o financiera, asegúrese de que el sitio web se codifica con un certificado SSL verificando el candado en la esquina inferior derecha, el ‘https’, o la barra de direcciones en color verde.
• Actualizar frecuentemente su software de seguridad para estar protegido de las amenazas más novedosas

*Gracias a Avdhoot Patil por su ayuda con esta investigación.

???????????????

Hacker Medic March 31, 2011 No Comments

2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。

このスパム攻撃で確認されたヘッダーの例を以下に示します。

差出人: “United Parcel Service” <info***3@ups.com>
差出人: “UPS Customer Services（UPS カスタマーサービス）”<***@secureserver.net>
差出人: “United Parcel Service” <***@dhl.com>
差出人: “Neil Molina” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: “Kimberley Miner” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>

件名: United Parcel Service notification 40983（UPS 通知 40983）
件名: Delivery Status（配送状況）
件名: UPS: Your Package（UPS: 荷物）
件名: United Parcel Service notification（UPS 通知）
件名: United Postal Service Tracking Nr.（UPS 追跡番号）

差出人: “Post Express Support（Post Express サポート）” <postmail-int[詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information（Post Express 情報）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Report（Post Express レポート）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Office（Post Express オフィス）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information（Post Express 情報）” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>

件名: Post Express Office. Package is available for pickup. NR03909（Post Express オフィス: 集荷準備中 NR03909）
件名: Post Express Office. Delivery refuse. NR4245855（Post Express オフィス: 配送拒否 NR4245855）
件名: Post Express Office. Track your parcel. NR06678（Post Express オフィス: 荷物追跡 NR06678）
件名: Post Express Office. Error in the delivery address. NR4061172（Post Express オフィス: 送付先住所の間違い NR4061172）
件名: Post Express Office. Get the parcel NR31215（Post Express オフィス: 荷物 NR31215 をお受け取りください）

受け取ったユーザーが圧縮ファイルを開いて実行すると、以下の脅威がインストールされます。

UPS tracking number.exe（Trojan.FakeAV として検出）
UPS notify.exe（Backdoor.Cycbot として検出）
Post_Express_Label.exe（Trojan.Sasfis として検出）

以下に、スパムの例を 2 つ示します。

シマンテックがこの攻撃を詳しく解析したところ、悪質な電子メールは世界各地から送信されており、それが急増したのは Rustock の活動停止後にスパマーがボットネットを再構築しているためであると判明しました。

上述したようなメールを受信した場合に、不審な添付ファイルを開いたりダウンロードしたりしないという基本的な習慣を守るようにしてください。また、コンピュータやネットワークへの侵入を防ぐために、すべてのセキュリティパッチをインストールし、ウイルス対策定義を常に最新状態に保つことをお勧めします。