Author Archives: Hacker Medic

Malicious links: Spammers change malware delivery tactics

Significant spike in malicious spam emails containing links, as attackers move away from attachments in their efforts to spread Downloader.Ponik and Downloader.Upatre.

TorLocker ransomware variant designed to target Japanese users

New file-encrypting ransomware variant is the first to specifically target Japanese users.

Twitter Card Style: 

summary

Ransomware is nothing new to Japan. Symantec’s research has found that Japan ranks among the regions that are the most affected by global ransomware attacks. However, no attacks specifically targeting Japanese users have ever been confirmed. That is, until now. In the recent weeks, Symantec has observed a ransomware variant in the wild that was designed to target users who speak Japanese.

Torlocker 1.png
Figure 1. Ransomware attacks in November 2014 by region

The ransomware threat in question is a localized variant of TorLocker. The malware encrypts files with certain file extensions on the compromised computer and demands that the user pays in order to decrypt the files. Symantec has confirmed multiple variants of this particular Japanese ransomware threat.

TorLocker has been used in ransomware attacks around the world. The threat is part of an affiliate program, where the program’s operator gives participants the builder to create custom ransomware, access to the TorLocker control panel to track infections, and miscellaneous files to be used in conjunction with the malware. In return, the participants give a portion of the profit from the attack to the affiliate program’s operator.

Infection
The localized variant’s attacks on Japanese users have occurred on compromised websites that commonly host blogs. However, it is also possible that the attacker is renting an exploit kit to automatically compromise victims’ computers by exploiting software vulnerabilities. In one case, a recently compromised site owned by a Japanese publishing company redirected traffic to several domains hosting the Rig exploit kit. This may have ultimately served the ransomware as a payload.

In another case in late November, a blog site was compromised to display a fake Adobe Flash Player installer page.

Torlocker 2.png
Figure 2. Fake Adobe Flash Player installer page

If the user clicks on the yellow install button, they are prompted to download and execute a setup file to install the plugin. However, the file does not contain the typical icon used in Flash Player installers. The file is not digitally signed either, which suggests that the installer is a phony.

Torlocker 3.png
Figure 3. Icon of the installer downloaded from the fake Flash Player page

Once the setup file is executed, it does not install Flash Player. Instead, it encrypts certain files and displays a message in Japanese in popup window, stating that the computer has been locked. The message then asks the user to pay in order to unlock their files. The demanded ransom ranges from 40,000 yen to 300,000 yen (approximately US$500 to US$3,600).

krswlocker-animated-gif-looping-url-blurred.gif
Figure 4. Pop-up window of the TorLocker ransomware variant targeting Japanese-speaking users

Stay protected
Japan is approaching its week-long New Year holiday. The long break is a perfect opportunity for the attacker to perform its campaign, as many users will likely surf the internet during the time off. Symantec has the following recommendations to avoid or mitigate ransomware infections:

  • Update the software, operating system, and browser plugins on your computer to prevent attackers from exploiting known vulnerabilities.
  • Use comprehensive security software, such as Norton Security, to protect yourself from cybercriminals.
  • Regularly back up any files stored on your computer. If your computer has been compromised with ransomware, then these files can be restored once the malware is removed from the computer.
  • Never pay the ransom. There’s no guarantee that the attacker will decrypt the files as promised once they receive payment.

Symantec and Norton products detect all of the ransomware variants discussed in this blog as Trojan.Cryptlocker.

?????????????: ????????????????????????

      No Comments on ?????????????: ????????????????????????
最近の大規模なデータ侵害を経て、アンダーグラウンド市場では活況を呈しています。盗まれた電子メールアカウントの価格は大幅に下落したものの、その他の違法な商品やサービスの価格は安定したままです。

Twitter Card Style: 

summary_large_image

underground-header-662x348.jpg

休暇シーズンには、最高の贈り物を最良の条件で求める買い物客がインターネットを探し回ります。この時期にお買い得品を探し求めるのは、一般消費者だけではありません。多くのサイバー犯罪者が、他人のお金で買い物をするとともに、アンダーグラウンド市場を利用して違法な商品やサービスを売買しようとしています。盗難データ、侵害されたオンラインアカウント、カスタムのマルウェア、攻撃サービスや攻撃インフラ、不正バウチャーなど、多種多様なものが購入できてしまうのです。

違法な商品やサービスの種類によって価格は大きく変動しますが、予算が非常に厳しいサイバー犯罪者にさえもお買い得品が存在します。攻撃者は、盗難データや侵害されたアカウントを 1 ドル未満で入手可能です。攻撃インフラなど大規模なサービスは、100 ドルから数千ドルで売買されています。それでも、こうしたインフラを利用して得られる利益を考えれば、初期投資に見合う価値があるのでしょう。

過去 12 カ月に発生したさまざまなデータ侵害や店頭レジ端末(POS)マルウェアの事案を考えると、アンダーグラウンド市場には盗難データがあふれていて、価格が下落していると思うかもしれません。ところが興味深いことに、市場で売買されている違法な商品の場合、これは当てはまらないようです。

アンダーグラウンドでの買い物
公衆インターネットで閲覧できる違法市場がある一方で、今年はアンダーグラウンドのサイトに関する報道が増えたため、多くの詐欺師たちがインターネットの暗部に移動することを余儀なくされました。たとえば、一部のフォーラムは隠しサービスとして匿名の Tor ネットワーク上でホストされています。また、招待者のみがアクセス可能で、かつ最近盗まれたばかりのクレジットカード情報 100 件など、金銭や商品の取引実績が必要とされる市場や、プライベートのチャットルームで運営され、新規ユーザーには厳しい審査手続きのある市場もあるのです。このような閉じたサークル内では通常、より多くの商品やサービスがより安い価格で取引されています。

販売されている盗難データ
データの販売価格は、電子メールアカウントなど一部については下落してきましたが、オンラインバンクの口座情報など利益が大きい情報については安定しています。2007 年には、盗まれた電子メールアカウントに 4 ドルから 30 ドルの値段が付いていました。2008 年には 0.10 ドルから 100 ドルの間で揺れ動き、2009 年には 1 ドルから 20 ドルの間を推移しています。現在は、盗まれた電子メールアカウント 1,000 件が 0.50 ドルから 10 ドルで入手可能です。この最新価格は、今や供給過剰となった状況が市場に反映されていることを示しています。

一方、クレジットカード情報の価格は、この数年下落していません。2007 年には、1 枚当たり 0.40 ドルから 20 ドルと広告されていました。カードのブランド、発行国、カードに関連するメタデータの量、大量購入割り引き、盗まれた時期など、さまざまな要因によって価格は変動します。2008 年、クレジットカード情報の平均的な希望価格は 0.06 ドルから 30 ドルとわずかに高くなり、同年の後半には 0.85 ドルから 30 ドルに上昇しました。現在では、0.50 ドルから 20 ドルです。クレジットカード情報の価格は、全般的にこの数年でわずかに下がっています。サイバー犯罪者が大量取引を行う場合は特にそうです。

もちろん、取引の詳細が闇の中であるため、どれだけの買い手が価格範囲内の高値を実際に支払っているかは不明です。また、一部の売り手は、古いデータを販売しようとしたり同じデータを何度も再販しようとしたりするなど、盗品の状態にも疑問があります。販売者の口座が有効かどうかや、クレジットカードが利用停止になっていないかどうかを確認する追加サービスが盛況なのは、このことが原因かもしれません。多くのアンダーグラウンド市場では、データの新鮮ささえも保証していて、クレジットカードが利用停止になっていたら購入後 15 分以内に交換することすら可能です。予想されるとおり、需要があるところには誰かが参入して、市場のギャップを埋めるのでしょう。

雇われの攻撃サービス
サービスとして提供されるクライムウェアも、アンダーグラウンド市場での人気が高くなっています。攻撃者は、ボットネットやその他のオンライン詐欺の実行に必要なインフラをまるごと簡単にレンタルすることが可能です。新規参入した犯罪者が攻撃活動を自力で実行する技術力を持たない場合でも、容易にサイバー犯罪を実行できてしまいます。

ドライブバイダウンロード Web ツールキットが、年中無休 24 時間のサポートと更新を含めて、1 週間あたり 100 ドルから 700 ドルでレンタルすることができます。オンラインバンクを狙うマルウェア SpyEye(Trojan.Spyeye として検出)の 6 カ月リース価格は 150 ドルから 1,250 ドル、分散型サービス拒否(DDoS)攻撃の 1 日あたりの価格は 10 ドルから 1,000 ドルです。買い手の金銭的利益に直結するあらゆる商品やサービスの市場価格は、安定を保持しています。

不正バウチャーやチケットで利益をあげる
サイバー犯罪者は、利益をあげるための新しい手口を常に考え出します。現在多く利用されているのはバウチャーやオンラインギフトカードで、これはオンラインで簡単に売買できるからです。攻撃者は、バウチャーやオンラインギフトカードを、盗難クレジットカードを使用して購入したり、乗っ取ったオンラインストアアカウントから作成したりします。その後、正規価格の 50% から 65% で販売するのです。また、ホテル、航空機、電車のチケットを本来の希望価格の約 10% で販売することもできます。もちろん、このようなチケットを購入するのは非常に危険です。先日、国際的な摘発作戦によって、偽造チケットを使用したか、または盗難クレジットカード情報を入手して航空券を購入した疑いで 118 名が逮捕されました。航空業界では、不正チケットによって年間 10 億ドル前後の損失が発生していると考えられています。

代理人が商品を転送するなどの古い手口は、あまり使われなくなってきています。盗難クレジットカードで購入した高価な商品を無関係の協力者に発送し、受け取った協力者が攻撃者の匿名私書箱に転送するという手口です。多くの小売店では発送先をクレジットカードに登録された自宅住所に限っているため、この方法は難しくなりつつあります。このため一部の攻撃者は、商品をどこかに配送させるのではなく、近所の店舗で商品を受け取るようになってきたようです。

拡大するアンダーグラウンド市場
アンダーグラウンド市場で販売されているのは、これらにとどまりません。次のような商品やサービスも販売されています。

  • 身元詐称に利用できるパスポート現物のスキャン画像(1 ドルから 2 ドル)
  • 価値の高いバーチャルアイテムを取得可能できる盗難ゲームアカウント(10 ドルから 15 ドル)
  • ビットコインの支払先を攻撃者に書き換えて盗み取るツールなど、カスタムのマルウェア(12 ドルから 3,500 ドル)
  • ソーシャルネットワークのフォロワー 1,000 名(2 ドルから 12 ドル)
  • コマンド & コントロール(C&C)サーバーのホストに利用できる盗難クラウドアカウント(7 ドルから 8 ドル)
  • 確認済みの電子メールアドレス 100 万件宛てにスパムを送信(70 ドルから 150 ドル)
  • 登録済みで有効化済みのロシアの携帯電話 SIM カード(100 ドル)

保護対策
アンダーグラウンド市場が活況を呈していることから、自分自身のデータや ID を保護することが一層重要になっています。さもないと、この休暇シーズンに個人情報がサイバー犯罪者の買い物に悪用されることにもなりかねません。

シマンテックは、次の基本的なセキュリティ対策を講じることをお勧めします。

  • 常に強力なパスワードを使用し、決して複数の Web サイトで使いまわさない。
  • すべてのデバイス上のソフトウェアを定期的に更新して、攻撃者が既知の脆弱性を悪用することを防止する。
  • 個人情報や口座情報を入力する際は、アドレスバーで鍵アイコンまたは「HTTPS」が使われていることを確かめ、その Web サイトがセキュアソケットレイヤー(SSL)証明書で暗号化されていることを確認する。疑わしい動作があったら、重要な情報をオンラインで送信する前に報告する。
  • ノートン セキュリティなどの総合的なセキュリティソフトウェアを使用して、自分自身をサイバー犯罪から保護する。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。嘘のようなうまい話には、たいてい裏がある。

underground-price-list-662x1870.jpg

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Symantec to Pre-Verify Applicants on .bank and .insurance gTLDs

a fundamental shift in the Internet landscape

Twitter Card Style: 

summary

As recently announced, fTLD Registry Services has partnered with Symantec to verify applicants before domain names are approved in the new .bank and .insurance generic Top-Level Domains (gTLDs).  So what does this truly mean?  Ultimately, it offers a form of brand protection for .bank and .insurance in this new era of the Internet. 

Handshake.jpg

July 2013 through February 2014 marked the second major landrush for addresses on the Internet.  Companies from around the world applied to ICANN to operate nearly any gTLD they could think of (namely common search terms).  For example we have applied to operate .symantec and .norton.  With the new gTLDs as options for website developers, there are increasing risks to end-users who may confuse spoofed destinations with their real counterparts.  For instance, let’s say ChelmoBank.com was a real address with millions of customers visiting daily.  Without pre-verfication there would be little stopping a hacker from creating ChelmoBank.uk or Chelmobank.shop to confuse my customers and funnel them into a phishing scam as they do with subdomains (e.g., ChelmoBank.example.com). fTLD Registry Services recognizes this and is acting as the responsible operator of this new portion of the Internet.  Fundamentally, this is a best practice among gTLD operators.  It not only provides better brand protection, but it also enables website owners to go through a majority of the processing for an SSL certificate, which will allow the owners to easily apply for and rapidly install an SSL certificate from Symantec.  At the end of the day this drives value for gTLD operators and allows their new virtual tenants to be seated among other websites which have all been vetted.  Personally, I see this as the equivalent of setting up shop in a shopping mall in an affluent neighborhood. 

If other registry service organizations would be interested in doing something similar to what fTLD Registry Services has done, then please email geoffrey_noakes@symantec.com today.

Mercado negro oculto: Cresce por meio de dados roubados, malware e serviços de ataque

O mercado negro continua a properar após as grandes violações de dados. O preço de contas de e-mail roubadas caiu significativamente, mas o valor de outros bens e serviços ilegais se manteve estável.

Read More

?? ?? ????? ???? ???? ?? ???, ?? ??, ?? ???

      No Comments on ?? ?? ????? ???? ???? ?? ???, ?? ??, ?? ???

최근 대형 데이터 유출 사고에도 불구하고 지하 경제 시장은 여전히 호황을 누리고 있습니다. 훔쳐낸 이메일 계정은 값이 대폭 하락했지만, 다른 불법 상품 및 서비스는 여전히 안정적인 가격으로 거래되고 있습니다.

Read More

¿Cuánto cuestan los datos robados y servicios de ataque en el mercado clandestino?

Como resultado de las numerosas fugas de datos registradas en los últimos meses, el mercado clandestino de información sigue en auge y, si bien el precio de las cuentas de correo electrónico robadas ha bajado de forma importante, el valor de otros datos y

Twitter Card Style: 

summary_large_image

Durante la temporada de vacaciones, los compradores buscan en Internet las mejores ofertas para encontrar el regalo perfecto. Sin embargo, los compradores en línea no son los únicos que buscan gangas en esta época del año; los ciberdelincuentes también, aunque ellos, a expensas de los demás. Los delincuentes de Internet utilizan el mercado clandestino para comprar y vender bienes y servicios ilegales, como datos robados, cuentas comprometidas en línea, malware personalizado, servicios e infraestructura de ataque, cupones fraudulentos y mucho más.

Los precios de los bienes y servicios ilegales llegan a variar ampliamente dependiendo de lo que se ofrece pero pueden satisfacer a los ciberdelincuentes que tengan poco presupuesto, ya que, por ejemplo, se pueden obtener datos robados y cuentas comprometidas por menos de un dólar. Servicios más grandes, tales como infraestructuras de ataque, pueden costar desde unos cientos de dólares hasta miles de ellos. Sin embargo, considerando los beneficios potenciales que los atacantes podrían tener mediante el uso de esta infraestructura, el costo inicial puede valer la pena para ellos.

Tomando en cuenta todas las fugas y violaciones de datos, así como los incidentes relacionados con malware en puntos de venta (PoS) que han tenido lugar en el último año, se podría pensar que el mercado clandestino está inundado con información robada, haciendo que los precios bajen, pero, curiosamente, este no parece ser el caso para todos los bienes ilegales que se anuncian en dicho mercado.

Compras clandestinas

Mientras que algunos mercados ilegales son visibles en el Internet público, la cobertura de noticias en la prensa sobre los sitios clandestinos ha aumentado este año, lo que ha obligado a muchos estafadores a moverse a lugares más oscuros de la web. Por ejemplo, algunos foros están alojados en la red anónima Tor como servicios ocultos. Otros mercados solo son accesibles a través de una invitación y requieren un pago inicial, lo que podría implicar dinero o bienes como 100 tarjetas de crédito recién robadas. Algunos más se ejecutan en salas de chat privadas que realizan investigación de antecedentes para que los usuarios puedan unirse. En estos círculos cerrados, los precios son generalmente mucho más bajos y el monto negociado de bienes o servicios es mayor.

Datos robados a la venta

Los precios han caído para cierta información que se vende, tal como las cuentas de correo electrónico; otras se mantienen estables para obtener información más rentable como detalles de cuentas bancarias en línea. En 2007, las cuentas de correo electrónico robadas valían entre $4 y $30 dólares (en Estados Unidos). Para el año siguiente, los precios fluctuaron entre $0.10 y $ 100 dólares. Ya en 2009, las ofertas estaban entre $1 y $20 dólares; hoy en día, se pueden conseguir 1,000 cuentas de correo electrónico robadas por $0.50 a $10 dólares. El rango de precios más reciente es un buen indicador de que hay un suministro abundante de datos robados disponibles, por lo que el mercado se ha ajustado.

La información de tarjetas de crédito, por otro lado, no ha disminuido en valor en los últimos años. En 2007, esta información se anunciaba entre $0.40 y $20 dólares por pieza. El precio depende de diferentes aspectos, como la marca de la tarjeta, el país de origen, la cantidad de metadatos proporcionados, descuentos por volumen y cómo fueron robados los datos de la tarjeta.

En 2008, el precio promedio de venta de datos de tarjetas de crédito era un poco más alto – $0.06 a $30 dólares – y más tarde subió a $0.85 y $30 dólares. Actualmente, el rango de precios para la información de tarjetas de crédito robadas es de entre $0.50 y $20 dólares. En general, los precios se han reducido ligeramente en los últimos años, especialmente en los casos en que los cibercriminales comercian paquetes de datos a granel.

Por supuesto, no sabemos si estas ventas realmente suceden o cuántos compradores pagan el extremo más alto de la escala de precios. Sin embargo, la calidad de los bienes robados es cuestionable, ya que algunos anunciantes tratan de vender datos antiguos o revender los mismos datos varias veces. Esto también puede explicar por qué se ha producido un auge en la oferta de servicios adicionales que verifican que las cuentas del vendedor están todavía activas o que la tarjeta de crédito no haya sido bloqueada. La mayoría de los mercados clandestinos incluso ofrecen una garantía de vigencia de los datos y reemplazo de tarjetas de crédito bloqueadas dentro de los primeros 15 minutos después de la compra. Como era de esperarse, en donde existe una demanda de algo, habrá alguien que lo venda.

Renta de servicios de ataque

El crimeware-como-servicio también se ha vuelto popular en los mercados clandestinos. Los atacantes pueden alquilar fácilmente toda la infraestructura necesaria para armar un botnet o cualquier otro tipo de ataque o estafa en línea. Esto hace que la delincuencia informática sea de fácil acceso para los cibercriminales que no tienen la capacidad técnica para generar una campaña de ataque por su propia cuenta.

Por ejemplo, un manual descargable drive-by, que incluye actualizaciones y soporte 24/7, se puede alquilar por entre $100 y $700 dólares por semana. El malware para banca en línea, SpyEye (detectado como Trojan.Spyeye) se ofrece a partir de $150 y hasta $1,250 dólares en un contrato de arrendamiento de seis meses y ataques de negación de servicio (DDoS) se pueden pedir a partir de $10 a $1,000 dólares por día. Esto demuestra que cualquier producto o servicio directamente vinculado a un beneficio monetario para el comprador, sigue siendo un objeto de deseo con un precio sólido en el mercado.

Obteniendo dinero con cupones y boletos fraudulentos

Los criminales cibernéticos están siempre creando nuevas estrategias para cobrar las ganancias de sus ataques. Cupones y tarjetas de regalo en línea son las más comunes para este propósito, ya que pueden cambiarse o venderse fácilmente en Internet. Los atacantes pagan por ellos con tarjetas de crédito robadas o las generan desde cuentas de tiendas secuestradas en línea. Después, ofrecen los cupones y/o las tarjetas de regalo en Internet, al 50% o 65% del valor nominal. Los cibercriminales también venden boletos de hotel, tren o avión a 10% del precio original. Por supuesto, esto es muy riesgoso para las personas que compran estos boletos. Hace algunos días, 118 personas fueron detenidas en todo el mundo bajo la sospecha de uso de boletos falsos y/o por obtener datos de tarjetas robadas para comprar boletos de avión. La industria aérea sospecha que, al año, los boletos fraudulentos están causando cerca de mil millones de dólares en daños y perjuicios para las aerolíneas.

La popularidad de métodos más antiguos, tales como agentes de re-envío de paquetes ha disminuido. Este método consiste en la compra de productos caros con tarjetas de crédito robadas, que los delincuentes envían a un voluntario no involucrado, quien manda de vuelta las mercancías al apartado postal anónimo del atacante. Sin embargo, esto se ha vuelto algo complicado de realizar, ya que muchas tiendas sólo envían al domicilio registrado o asociado con la tarjeta de crédito, lo que ha generado que algunos atacantes prefieran pasar por los artículos en una tienda física cercana, en lugar de enviarlos a otra dirección.

Mercado clandestino en crecimiento

Los ejemplos y datos de los que hemos hablado, no son los únicos bienes y servicios que se ofrecen en el mercado clandestino, también se han identificado:

  • Pasaportes reales escaneados que pueden ser utilizados con fines de robo de identidad ($1 a $2 dólares)
  • Cuentas de juegos en Internet que pueden llevar a obtener artículos virtuales valiosos ($12 a $3,500 dólares)
  • Malware personalizado para robar bitcoins, reemplazando carteras en la memoria
  • 1,000 seguidores en las redes sociales ($2 a $12 dólares)
  • Cuentas en la nube robadas para hospedar un servidor de comando y control (C&C) ($7 a $8 dólares)
  • Enviar spam a 1 millón de direcciones de correo electrónico verificadas ($70 a $150 dólares)
  • Registrar y activar la tarjeta SIM de un teléfono móvil ruso ($100 dólares)

¿Cómo protegerse?

El auge del mercado clandestino es una razón más que pone en evidencia la importancia de proteger nuestros datos y nuestra identidad. De lo contrario, posiblemente nuestra información personal quede a disposición de un criminal cibernético durante esta temporada de vacaciones o en cualquier época del año.

Por eso, Symantec recomienda los siguientes lineamientos básicos de seguridad:

  • Utilizar siempre contraseñas seguras y únicas, nunca reutilizarlas en otros sitios web
  • Actualizar el software en todos nuestros dispositivos con regularidad para evitar que los atacantes exploten vulnerabilidades conocidas
  • Al teclear o dar información personal o financiera, hay que asegurarse de que el sitio web está encriptado con un SSL (Secure Sockets Layer), verificando el ícono del candado o “https” en la barra de direcciones. Se recomienda reportar cualquier comportamiento sospechoso antes de enviar información confidencial en línea.
  • Usar software de protección integral, más allá de un antivirus, como por ejemplo Norton Security, para reducir los riesgos de un ataque de la ciberdelincuencia.
  • Tener cuidado al hacer clic en enlaces o ligas enviadas a través de correos electrónicos o publicadas en redes sociales. Si algo parece demasiado bueno para ser verdad, entonces probablemente no lo sea.

Infograph DatosMercadoClandestino LR.jpg

Underground black market: Thriving trade in stolen data, malware, and attack services

The underground market is still booming after recent major data breaches. The price of stolen email accounts has dropped substantially, but the value of other illegal goods and services has remained stable.

Twitter Card Style: 

summary

underground-header-662x348.jpg

During the holiday season, shoppers scour the internet to find the best deals for the perfect gifts. Ordinary consumers aren’t the only ones looking for bargains at this time of year. A host of cybercriminals are looking to shop at other people’s expense and use underground marketplaces to buy and sell illegal goods and services. Stolen data, compromised online accounts, custom malware, attack services and infrastructure, fraudulent vouchers, and much more can be bought if you know where to go.

Prices for illegal goods and services can vary widely, depending on what’s offered, but bargains exist even for cybercriminals on the tightest budgets. Attackers can pick up stolen data and compromised accounts for less than a dollar. Larger services, such as attack infrastructure, can cost anything from a hundred dollars to a few thousand. However, considering the potential gains that attackers could make by using this infrastructure, the upfront cost may be worth it for them.

Considering all of the data breaches and point-of-sale (POS) malware incidents that occurred in the last 12 months, you may think that underground markets are flooded with stolen data, causing prices to drop. Interestingly enough, this does not seem to be the case for all illegal goods on these marketplaces.

Shopping in the underground
While some illegal marketplaces are viewable on the public internet, news coverage around underground sites has increased this year, forcing many scammers to move to darker parts of the internet. For example, some forums are now hosted on the anonymous Tor network as hidden services. Other markets are only accessible with an invitation and require a buy-in, which could involve money or goods—like 100 freshly stolen credit cards. Other markets are run on private chat rooms and have rigid vetting procedures for new users. In these closed circles, prices are usually much lower and the traded amount of goods or services is higher. 

Stolen data for sale
Prices have dropped for some of the data offered, such as email accounts, but they remain stable for more profitable information like online bank account details. In 2007, stolen email accounts were worth between US$4 and $30. In 2008, prices fluctuated between $0.10 and $100. In 2009, the price hovered between $1 and $20. Today, you can get 1,000 stolen email accounts for $0.50 to $10.  The latest pricing is a good indication that there is now oversupply and the market has adjusted accordingly.

Credit card information, on the other hand, has not decreased in value in recent years. In 2007, this information was advertised at between $0.40 and $20 per piece. How much you pay can depend on a number of factors, such as the brand of the card, the country it comes from, the amount of the card’s metadata provided, volume discounts, and how recently the card data was stolen. In 2008, the average asking price for credit card data was slightly higher–$0.06 to $30–and later in the year it rose to from $0.85 to $30. Today, prices for stolen credit card information range between $0.50 and $20. In general, credit card data prices have fallen slightly over the last few years, especially in cases where cybercriminals trade in bulk volumes.

Of course, we have no visibility into transactions and do not know how many buyers actually pay the upper end of the price range. The quality of the stolen goods is also questionable, as some sellers try to sell old data or resell the same data multiple times. This may also explain why there has been a boom in additional service offerings that verify that the seller’s accounts are still active or that a credit card has not yet been blocked. Most underground marketplaces even provide a guarantee for the data’s freshness and replace blocked credit cards within 15 minutes of purchase. As expected, where there is demand, someone will step in and address the gap in the market.

Attack services for hire
Crimeware-as-a-service has also become popular on underground marketplaces. Attackers can easily rent the entire infrastructure needed to run a botnet or any other online scams. This makes cybercrime easily accessible for budding criminals who do not have the technical skills to run an attack campaign on their own.

A drive-by download web toolkit, which includes updates and 24/7 support, can be rented for between $100 and $700 per week. The online banking malware SpyEye (detected as Trojan.Spyeye) is offered from $150 to $1,250 on a six-month lease, and distributed denial-of-service (DDoS) attacks can be ordered from $10 to $1,000 per day. Any product or service directly linked to monetary profit for the buyer retains a solid market price.

Cashing out with fraudulent vouchers and tickets
Cybercriminals are always coming up with new strategies to cash out their profits. Vouchers and online gift cards are currently in vogue, as they can easily be traded or sold online. Attackers pay for them using stolen credit cards or generate them from hijacked online retailer accounts. They then sell the vouchers and online gift cards for 50 to 65 percent of the nominal value. Cybercriminals can also sell hotel, airline, and train tickets for approximately ten percent of the original asking price. Of course, this is very risky for the people who buy these tickets. Recently, 118 people were arrested in a global operation on suspicion of using fake tickets or obtaining stolen card data to purchase airline tickets. The airline industry believes that fraudulent tickets are costing it around $1 billion annually.

Older methods such as packet re-sending agents have declined in popularity. This method involved buying expensive goods with stolen credit cards and having them shipped to an uninvolved volunteer, who then reships the goods to the attacker’s  anonymous PO box.  This is getting harder to do, as many shops will only ship to the registered home address of the credit card. This also led to some attackers picking up the items in a physical store nearby, rather than shipping them somewhere first.

The expansive underground marketplace
These examples aren’t the only goods and services on offer on underground marketplaces. Also for sale are:

  • Scans of real passports ($1 to $2), which can be used for identity theft purposes
  • Stolen gaming accounts ($10 to $15), which can yield valuable virtual items
  • Custom malware ($12 to $3,500), for example tools for stealing bitcoins by diverting payments to the attackers
  • 1,000 followers on social networks ($2 to $12)
  • Stolen cloud accounts ($7 to $8), which can be used for hosting a command-and-control (C&C) server
  • Sending spam to 1 million verified email addresses ($70 to $150)
  • Registered and activated Russian mobile phone SIM card ($100)

Protection
The booming underground marketplace is another reason it’s important to protect your data and identity. Otherwise, you may find your personal information in the shopping basket of a cybercriminal during this holiday season.

Symantec recommends the following basic security guidelines:

  • Always use strong passwords, and never reuse them across other websites.
  • Update the software on all of your devices regularly to prevent attackers from exploiting known vulnerabilities.
  • When entering personal or financial information, ensure that the website is encrypted with a Secure Sockets Layer (SSL) certificate by looking for the padlock icon or “HTTPS” in the address bar. Report any suspicious behavior before submitting sensitive information online.
  • Use comprehensive security software, such as Norton Security, to protect yourself from cybercriminals.
  • Exercise caution when clicking on enticing links sent through emails or posted on social networks. If something looks too good to be true, then it likely is.

underground-price-list-662x1870.jpg

Microsoft Patch Tuesday – December 2014

      No Comments on Microsoft Patch Tuesday – December 2014
This month the vendor is releasing seven bulletins covering a total of 24 vulnerabilities. Thirteen of this month’s issues are rated ‘Critical’.

Twitter Card Style: 

summary

ms-tuesday-patch-key-concept-colored-light.png

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing seven bulletins covering a total of 24 vulnerabilities. Thirteen of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the December releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms14-dec

The following is a breakdown of the issues being addressed this month:

  1. MS14-075 Vulnerabilities in Microsoft Exchange Server Could Allow Security Feature Bypass (3009712)

    Outlook Web Access Token Spoofing Vulnerability (CVE-2014-6319) MS Rating: Moderate

    A token spoofing vulnerability exists in Exchange Server when Microsoft Outlook Web Access (OWA) fails to properly validate a request token.

    OWA XSS Vulnerability (CVE-2014-6325) MS Rating: Important

    An elevation of privilege vulnerability exists when Microsoft Exchange Server does not properly validate input. An attacker who successfully exploited this vulnerability could run script in the context of the current user.

    OWA XSS Vulnerability (CVE-2014-6326) MS Rating: Important

    An elevation of privilege vulnerability exists when Microsoft Exchange Server does not properly validate input. An attacker who successfully exploited this vulnerability could run script in the context of the current user.

    Exchange URL Redirection Vulnerability (CVE-2014-6336) MS Rating: Important

    A spoofing vulnerability exists in Microsoft Exchange when Microsoft Outlook Web Access (OWA) fails to properly validate redirection tokens.

  2. MS14-080 Cumulative Security Update for Internet Explorer (3008923)

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6327) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6329) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6330) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6366) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6369) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6373) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6374) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6375) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-6376) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-8966) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    XSS Filter Bypass Vulnerability in Internet Explorer (CVE-2014-6328) MS Rating: Important

    An XSS filter bypass vulnerability exists in the way Internet Explorer disables an HTML attribute in otherwise appropriately filtered HTTP response data. This vulnerability could allow initially disabled scripts to run in the wrong security context, leading to information disclosure.

    XSS Filter Bypass Vulnerability in Internet Explorer (CVE-2014-6365) MS Rating: Important

    An XSS filter bypass vulnerability exists in the way Internet Explorer disables an HTML attribute in otherwise appropriately filtered HTTP response data. This vulnerability could allow initially disabled scripts to run in the wrong security context, leading to information disclosure.

    Internet Explorer ASLR Bypass Vulnerability (CVE-2014-6368) MS Rating: Important

    A security feature bypass vulnerability exists when Internet Explorer does not use the Address Space Layout Randomization (ASLR) security feature, allowing an attacker to more reliably predict the memory offsets of specific instructions in a given call stack. This vulnerability could allow an attacker to bypass the Address Space Layout Randomization (ASLR) security feature.

    VBScript Memory Corruption Vulnerability (CVE-2014-6363) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the VBScript engine, when rendered in Internet Explorer, handles objects in memory. The vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  3. MS14-081 Vulnerabilities in Microsoft Word and Microsoft Office Web Apps Could Allow (3017301)

    Index Remote Code Execution Vulnerability (CVE-2014-6356) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Microsoft Word does not properly handle objects in memory while parsing specially crafted Office files. System memory may be corrupted in such a way that an attacker could execute arbitrary code.

    Use After Free Word Remote Code Execution Vulnerability (CVE-2014-6357) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Microsoft Word does not properly handle objects in memory while parsing specially crafted Office files. System memory may be corrupted in such a way that an attacker could execute arbitrary code.

  4. MS14-082 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3017349)

    Microsoft Office Component Use After Free Vulnerability (CVE-2014-6364) MS Rating: Important

    A remote code execution vulnerability exists in the context of the current user that is caused when Microsoft Word does not properly handle objects in memory while parsing specially crafted Office files.

  5. MS14-083 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (3017347)

    Global Free Remote Code Execution in Excel Vulnerability (CVE-2014-6360) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel does not properly handle objects in memory while parsing specially crafted Office files. System memory may be corrupted in such a way that an attacker could execute arbitrary code.

    Excel Invalid Pointer Remote Code Execution Vulnerability (CVE-2014-6361) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel does not properly handle objects in memory while parsing specially crafted Office files. System memory may be corrupted in such a way that an attacker could execute arbitrary code.

  6. MS14-084 Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (3016711)

    VBScript Memory Corruption Vulnerability (CVE-2014-6363) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the VBScript engine, when rendered in Internet Explorer, handles objects in memory. The vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  7. MS14-085 Vulnerability in Microsoft Graphics Component Could Allow Information Disclosure (3013126)

    Information Disclosure Vulnerability (CVE-2014-6355) MS Rating: Important

    An information disclosure vulnerability exists in the Microsoft Graphics Component that could allow an attacker to more reliably predict the memory offsets of specific instructions in a given call stack. The vulnerability is caused when the Microsoft Graphics Component improperly handles the decoding of JPEG images in memory. An attacker could use this information disclosure vulnerability to gain information about the system that could then be combined with other attacks to compromise the system.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.