Category Archives: Security Response News

Microsoft Patch Tuesday – April 2013

Hacker Medic April 9, 2013 No Comments

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing nine bulletins covering a total of 14 vulnerabilities. Four of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

Install vendor patches as soon as they are available.
Run all software with the least privileges required while still maintaining functionality.
Avoid handling files from unknown or questionable sources.
Never visit sites of unknown or questionable integrity.
Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the April releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Apr

The following is a breakdown of the issues being addressed this month:

MS13-028 Cumulative Security Update for Internet Explorer (2817183)

Internet Explorer Use After Free Vulnerability (CVE-2013-1303) MS Rating: Critical

A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Use After Free Vulnerability (CVE-2013-1304) MS Rating: Critical

A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
MS13-029 Vulnerability in Remote Desktop Client Could Allow Remote Code Execution (2828223)

RDP ActiveX Control Remote Code Execution Vulnerability (CVE-2013-1296) MS Rating: Critical

A remote code execution vulnerability exists when the Remote Desktop ActiveX control, mstscax.dll, attempts to access an object in memory that has been deleted. An attacker could exploit the vulnerability by convincing the user to visit a specially crafted webpage. An attacker who successfully exploited this vulnerability could gain the same user rights as the logged-on user.
MS13-036 Vulnerabilities in Kernel-Mode Driver Could Allow Elevation Of Privilege (2829996)

Win32k Font Parsing Vulnerability (CVE-2013-1291) MS Rating: Moderate

A denial of service vulnerability exists when Windows fails to handle a specially crafted font file. The vulnerability could cause the computer to stop responding and restart.

Win32k Race Condition Vulnerability (CVE-2013-1283) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Race Condition Vulnerability (CVE-2013-1292) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

NTFS NULL Pointer Dereference Vulnerability (CVE-2013-1293) MS Rating: Moderate

An elevation of privilege vulnerability exists when the NTFS kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs, view, change, or delete data, or create new accounts with full administrative rights.
MS13-031 Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2813170)

Kernel Race Condition Vulnerability (CVE-2013-1294) MS Rating: Critical

An elevation of privilege vulnerability exists when the Windows kernel improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Kernel Race Condition Vulnerability (CVE-2013-1284) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.
MS13-032 Vulnerability in Active Directory Could Lead to Denial of Service (2830914)

Memory Consumption Vulnerability (CVE-2013-1282) MS Rating: Important

A denial of service vulnerability exists in implementations of Active Directory that could cause the service to stop responding. The vulnerability is caused when the LDAP service fails to handle a specially crafted query.
MS13-033 Vulnerability in Windows Client/Server Run-time Subsystem (CSRSS) Could Allow Elevation of Privilege (2820917)

CSRSS Memory Corruption Vulnerability (CVE-2013-1295) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows CSRSS improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in the context of the local system. An attacker could then install programs, view, change, or delete data, or create new accounts with full user rights.
MS13-034 Vulnerability in Microsoft Antimalware Client Could Allow Elevation of Privilege (2823482)

Microsoft Antimalware Improper Pathname Vulnerability (CVE-2013-0078) MS Rating: Important

This is an elevation of privilege vulnerability. An attacker who successfully exploited this vulnerability could execute arbitrary code in the security context of the LocalSystem account and take complete control of the system. An attacker could then install programs, view, change, or delete data, or create new accounts with full user rights. An attacker must have valid logon credentials to exploit this vulnerability. The vulnerability could not be exploited by anonymous users.
MS13-035 Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2821818)

HTML Sanitization Vulnerability (CVE-2013-1289) MS Rating: Important

An elevation of privilege vulnerability exists in the way that HTML strings are sanitized. An attacker who successfully exploited this vulnerability could perform cross-site scripting attacks on affected systems and run script in the security context of the current user.
MS13-030 Vulnerability in SharePoint Could Allow Information Disclosure (2827663)

Incorrect Access Rights Information Disclosure Vulnerability (CVE-2013-1290) MS Rating: Important

An information disclosure vulnerability exists in the way that SharePoint Server enforces access controls on specific SharePoint Lists.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

?????????????????? Shylock

Hacker Medic April 8, 2013 No Comments

Shylock は、オンラインバンキングを狙うきわめて高度なトロイの木馬であり（以前の記事を参照）、今も金融詐欺の脅威の分野では無視できない存在です。2011 年に控え目に登場して以来、その感染数は英国、イタリア、米国で増え続けていますが、標的となる金融機関の数も同様に増加しています。現在は、英国を中心として 60 以上の金融機関が標的となっています。

Shylock の主な目的は、標的となる金融機関の Web サイトのリストを作成して、MITB(Man-in-the-Browser）攻撃を仕掛けることです。この攻撃を利用してユーザーの個人情報を盗み出し、ソーシャルエンジニアリング手法によってユーザーを誘導して、狙った金融機関で不正な取引を実行させます。

追加モジュール
最近この Shylock が、機能を拡張するために追加のモジュールをダウンロードし、実行するようになりました。以下のモジュールが開発され、Shylock によってダウンロードされています。

Archiver（録画されたビデオファイルをリモートサーバーにアップロードする前に圧縮する）
BackSocks（侵入先のコンピュータをプロキシサーバーとして機能させる）
DiskSpread（接続されたリムーバブルドライブを介して Shylock を拡散する）
Ftpgrabber（さまざまなアプリケーションから保存されたパスワードの収集を可能にする）
MsgSpread（Shylock を Skype のインスタントメッセージ経由で拡散させる）
VNC（攻撃者が侵入先コンピュータにリモートデスクトップ接続できるようにする）

インフラ
Shylock は堅ろうなインフラを採用しています。トラフィック量の多い時間帯の冗長化と負荷分散が有効になっているので、サーバーは着信接続の数に応じて侵入先のコンピュータを別のサーバーにリダイレクトします。

Shylock で利用されている最初のレベルのサーバーは特定されており、次の 3 つのグループに分類されます。

中央のコマンド & コントロール（C&C）サーバー（ボットネットの制御と保守に使われる）
VNC と BackSocks のサーバー（トランザクション中のリモート制御を可能にする）
JavaScript サーバー（MITB 攻撃でリモートの Web インジェクションを実行する）

図 1. Shylock のインフラで使われているサーバーのグループ

これらは、メインコンポーネントの制御に利用されているプロキシサーバーです。これらのサーバーの主な目的は、更新した以下の設定ファイルやモジュールを侵入先のコンピュータに提供して、Shylock の感染数を維持することにあります。

バイナリファイル
hijackcfg モジュール
httpinject モジュール

侵入先のコンピュータで、新たに追加されたモジュールが実行されると、レポートログが C&C サーバーに送信されます。ログは暗号化通信を使って適切なサーバーにリダイレクトされ、サーバーは相互に Secure Socket Layer（SSL）として機能します。各サーバーは、相互の通信に以下のプロトコルを利用します。

「Debian 6」（”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”）としてフィンガープリントが設定されている SSH
CentOS（”Server: Apache/2.2.15 (CentOS)”）を含む HTTPS 応答

現在は、5 つの中央 C&C サーバーが Shylock ボットネットを制御しています。これらのサーバーは、ドイツと米国の複数のホスティングプロバイダに置かれています。

標的変化を示すグラフ
Shylock は当初、英国内のコンピュータを主な標的としていましたが、今では他の国や地域にも広がっています。その一方、なかには標的として狙われなくなってきた金融機関もあります。セキュリティ対策が向上したため、あるいは高価値の業務用顧客を持っていないためと考えられ、Shylock はもっと見返りの大きそうな金融機関に的を絞り直しつつあります。

図 2. Shylock に感染したコンピュータ数（2011 年～ 2013 年）

図 3. 標的となる業種

Shylock の新しい攻撃は今後も続くものと予測され、シマンテックは Shylock の活動を引き続き監視していきます。

シマンテックの保護対策

いつものことですが、基本的なセキュリティ対策（ベストプラクティス）に従って、ソフトウェアの最新パッチがインストールされていることを確認してください。また、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Shylock Beefing Up and Looking for New Business Opportunities

Hacker Medic April 5, 2013 No Comments

Shylock (a.k.a. The Merchant of Malice) is one of the most sophisticated banking Trojan horse programs presently occupying the financial fraud threat landscape. From its humble beginnings in 2011, it has seen increased infections in the United Kingdom, Italy, and the United States. This is consistent with the increased number of targeted financial institutions over that time period. Shylock is currently targeting over 60 financial institutions with the majority of them operating in the United Kingdom.

The main purpose of Shylock is to perform a man-in-the-browser (MITB) attack against a configured list of target organization websites. The attack is used to steal user credentials and apply social engineering tactics in order to convince the user to perform fraudulent transactions at the target institution.

Additional modules
Recently, Shylock has begun downloading and executing complementary modules in order to beef up its functionality. The following modules have been developed and are being downloaded by the threat.

Archiver (compresses recorded video files before uploading them to remote servers)
BackSocks (enables the compromised computer to act as a proxy server)
DiskSpread (enables Shylock to spread over attached, non-fixed, drives)
Ftpgrabber (enables the collection of saved passwords from a variety of applications)
MsgSpread (enables Shylock to spread through Skype instant messages)
VNC (provides the attacker with a remote desktop connection to the compromised computer)

Infrastructure
The Trojan employs a robust infrastructure that allows for redundancy and load-balancing during periods of high traffic, whereby servers will redirect compromised computers to another server depending on the number of incoming connections.

The first level of servers belonging to this threat has been identified and can be categorized into the following three groups:

Central command-and-control (C&C) servers (responsible for botnet control and maintenance)
VNC and Backsocks servers (enable remote control during transactions)
JavaScript servers (allow remote Webinjects during MITB attacks)

Figure 1. Groups of servers utilized in Shylock’s infrastructure

These are proxy servers that are used to control the main component. The main purpose of these servers is to maintain the Shylock infection base by providing the following updated configuration files and modules to compromised computers:

Binary files
A hijackcfg module
A httpinject module

When a compromised computer performs one of the new, additional modules, it sends a report log to the C&C server. These logs are then redirected to the appropriate server using encrypted communication—the servers act as a secure socket layer (SSL) to each other. The servers use the following protocols when communicating with each other:

SSH is fingerprinted as ”Debian 6” (”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”)
HTTPS response includes ”CentOS” (”Server: Apache/2.2.15 (CentOS)”)

Five central C&C servers are currently controlling the Shylock botnet. These servers are situated in Germany and the United States at various hosting providers.

Evidence of a strain migration
At first, Shylock was specifically targeting computers located in the United Kingdom but it is now spreading to other countries. Also, as some financial institutions become less desirable as targets, either due to increased security measures or a lack of high-value business accounts, Shylock is refocusing its attacks on those offering potentially larger returns.

Figure 2. Computers infected with Shylock between 2011 and 2013

Figure 3. Targeted sectors

We expect to see new iterations of this threat in the wild and are continuing to monitor the threat landscape.

Symantec Protection

As always, we recommend that you follow best security practices and ensure that you have the most up-to-date software patches in place, and that you use the latest Symantec technologies and virus definitions to ensure that you have the best protection against threats.

??????? – ??? 2: ????? Facebook ??????????????????

Hacker Medic April 4, 2013 No Comments

この数週間に、Google Chrome の拡張機能をインストールするようユーザーを誘う詐欺が Facebook 上でいくつも確認されています。このような詐欺は、あちこちで話題になっているようですが、詐欺師の投稿した写真を削除する方法や、詐欺の拡散を食い止める方法は知られていません。なかには、あきらめて Facebook プロフィールを作り直してしまうユーザーもいますが、そこまでする必要はありません。

万一こうした詐欺に引っかかってしまった場合のために、ブラウザと Facebook のタイムラインを正常な状態に戻す方法をご紹介しておきます。

不正なブラウザ拡張機能を削除する

Facebook Black やプロフィールスパイ（「See Your Profile Viewers（プロフィールを表示した人がわかる）」という名前です）、「無料 PS4」といった Chrome 拡張機能をインストールしてしまった場合には、ブラウザからアンインストールする必要があります。

Google Chrome を開きます。
ブラウザのアドレスバーに「chrome://extensions」と入力します。
ごみ箱アイコンをクリックして不正な拡張機能を削除します。
確認ダイアログボックスで［削除］をクリックします。

Google Chrome の［拡張機能］ページを見れば、インストールされている不正な拡張機能を判別できます。上図の例では、「Get PS4」と「See Your Profile Viewers」という拡張機能がインストールされていることがわかります。

不正な拡張機能を削除するには、ごみ箱アイコンをクリックして確定するだけです。

不要な Facebook ページを削除する

問題の Chrome 拡張機能は、ユーザーのプロフィールを使って Facebook ページを作成する場合があります。詐欺 Facebook ページが自分のアカウントで作成されたものかどうかを確認し、削除する必要があります。

自分の Facebook プロフィールで、右上の歯車アイコンをクリックし、変更したいページを選択します。
Facebook ページが表示されたら、一番上の［Facebookページを編集］をクリックします。
［権限の管理］を選択します。
一番下の［（ページ名）を完全に削除する］をクリックします。
［削除］をクリックして Facebook ページを完全に削除します。

上の例でもわかるように、ランダムに作成された Facebook ページが詐欺師によって使われていることが確認されています。詐欺 Facebook ページを完全に削除してしまえば、友達を詐欺師によってタグ付けされるのを防ぐことができます。

ページを削除すると、メインの Facebook プロフィールに戻ります。

詐欺師による投稿を Facebook タイムラインから削除する

詐欺の拡散を続けるために、問題の Chrome 拡張機能は JavaScript ファイルをダウンロードしています。これらのファイルが、友達を写真にタグ付けしてニュースフィードで広めるなど、詐欺師の活動の実行に関与しています。

最後の手順では、不正な拡張機能によってなりすまし投稿された写真を削除して、Facebook のタイムラインを正常な状態に戻します。

自分のプロフィールのタイムラインに移動します。
タイムラインを下にスクロールして、詐欺師が投稿した写真がないか確認します。
該当するタイムラインの記事で、鉛筆アイコンをクリックします。
［写真を削除］を選択します。

詐欺師によって投稿された写真をタイムライン上で削除すると、詐欺の拡散防止につながります。

ところで、タイムライン上に詐欺師が投稿した写真に、自分がタグ付けされている場合もあります。その場合は、詐欺として Facebook に報告してください。

該当するタイムラインの記事で、鉛筆アイコンをクリックします。
［タグを報告または削除］を選択します。
［タグの削除を希望します］と［Facebookからの削除を希望します］のチェックボックスにチェックマークを付け、［スパムです］を選択します。
［続行］をクリックして確定します。

以上の手順で、ブラウザから不正な拡張機能を削除し、Facebook プロフィールのタイムラインを正常な状態に戻して、詐欺師による投稿をスパムとして報告できましたので、友達も同じようにブラウザと Facebook タイムラインを掃除できるように、このブログのことを教えてあげてください。

今後も油断は禁物

以上の正常化の手順は、Google Chrome 拡張機能を悪用して Facebook 上で拡散している詐欺の削除に有効です。しかし、前回も指摘したように、詐欺師は執拗です。手を変え品を変え、同様の行為は続くことでしょう。ソーシャルネットワークでは今後も注意を怠らず、無料商品や特別機能につられてブラウザ拡張機能をインストールすることのないようにしてください。

シマンテック製品をお使いのお客様は、IPS シグネチャ Web Attack: Fake Facebook Application 3 によってこの手の攻撃から保護されています。

??????? – ??? 1: ????????????????????????????

Hacker Medic April 4, 2013 No Comments

シマンテックは昨年、Facebook で流行している詐欺とスパムについてのホワイトペーパー（英語）を公開しました。ソーシャルネットワーク詐欺では、ユーザーを欺くために、使い古されたワナが再利用されることも少なくありません。無料商品の広告や、ソーシャルネットワークにまだ実装されていない機能の追加などが定番ですが、違う点は、特定のリンクに注目を集める新しい方法が使われていることです。「いいね」機能の悪用でも、ユーザーを誘導してブラウザのアドレスバーにコード（外部の JavaScript ファイル）を貼り付けさせる手口でも、詐欺師は執拗です。

ごく最近も、Facebook Black 詐欺の拡散についてこのブログでご報告したばかりです。この詐欺の拡散が続くなか、シマンテックは古いワナが 2 つ再利用されていることを確認しました。また、エンドユーザーにインストールを促す 2 つの Google Chrome 拡張機能が同一であることも判明しています。

「追加機能」のワナ

ソーシャルネットワークのユーザーは、新規機能の追加を要求することが多く、お気に入りのサイトに機能が実装されるかどうかを気にします。さまざまなソーシャルネットワークで特に要求の多かった機能のひとつに、自分のプロフィールにアクセスした人を知る方法があります。そういった機能が実装されていない場合も多く、それだけに、人気のあるソーシャルネットワークではこれまでに何度も詐欺に利用されています。

図 1. 機能の追加を謳う、写真タグ付けスパム

実際、このワナはソーシャルネットワークで頻繁に見かけるもので、先日お伝えした Facebook Black 詐欺で使われたものと同一です。ユーザーは Facebook ページ上の iFrame を介してリダイレクトされ、Google Chrome の拡張機能をインストールするよう促す Web サイトに誘導されます。

図 2. 新機能を追加すると称するブラウザの拡張機能

この拡張機能をインストールしても何も起こりません。新機能を使えるようにするためにはアンケートに答えるよう促すフォームが表示されるだけで、回答しても、その機能が使えるようになることはありません。アンケートの回答があるたびに、詐欺師の手元に儲けが転がり込むだけです。

図 3. 詐欺アンケート

「無料提供」のワナ

本音を言えば、誰しも「無料」には弱いものですが、ソーシャルネットワークで見かける「無料提供」が実際に無料だったためしはありません。ユーザーが欲しがるのは、きまって最新の商品であり、詐欺師もそれをよく知っています。古いワナが何度でも再利用される理由も、まさにここにあります。

図 4. 無料で商品を提供すると称する Web ページ

たとえば、ソニー社が 2 月に新型ゲーム機「PS4」を発表しました。PS4 が店頭に並ぶのは早くとも今年の年末商戦ですが、詐欺師はすかさず、PS4 のテストに参加すればテスト機をそのまま無料で提供するという煽りでユーザーを欺こうとしています。

図 5. 無料で商品を獲得できると称するブラウザ拡張機能

この詐欺の Web ページでは、PS4 を無料で手に入れるためのクーポン券をもらえると宣伝されています。そんなクーポン券はもちろん存在せず、詐欺師が作成したブラウザ拡張機能があるだけです。

この拡張機能をインストールすると、JavaScript ファイルがユーザーのコンピュータにダウンロードされます。複数の JavaScript ファイルによって、ユーザーの Facebook アカウントでさまざま操作が実行されてしまいます。iFrame を使った Facebook ページを作成したり、写真を投稿してユーザーの友達をタグ付けしたり（最初に挙げた図 1）といった手口です。こうして、この詐欺は拡散していきます。

保護対策

シマンテック製品をお使いのお客様は、IPS シグネチャ Web Attack: Fake Facebook Application 3 によってこの手の攻撃から保護されています。

ソーシャルネットワークで無料を謳う商品を見かけたら、特にそれが人気の高い商品であるほど、十分に注意してください。ソーシャルネットワークで現在利用できない機能があるとしたら、利用できないそれなりの理由があるのです。発行元が検証されていないブラウザ拡張機能はインストールしないようにしてください。無料商品の提供や、未実装の機能の追加を謳ったりしている場合は言うまでもなく、ソーシャルネットワークで盛んに宣伝されている場合には特に疑ってかかりましょう。

Google 社でも、悪質な Chrome 拡張機能は見つけしだい削除しており、マルウェアを含んだ項目を検出する自動システムの改良にも取り組んでいます。

次回のブログでは、こういった詐欺に関連したブラウザ拡張機能を削除する方法について説明し、Facebook のタイムラインから詐欺師の残したスパムをすべて削除する方法について解説します。

Social Scams – Part 2: How to Clean Up Your Browser and Facebook Timeline

Hacker Medic April 3, 2013 No Comments

During recent weeks, I have seen different scams on Facebook attempt to convince users to install Google Chrome extensions. I have noticed some conversations taking place around the scams; people not sure how to get rid of the scammer photos or how to prevent the scams from spreading further. Some users have unfortunately gone as far as creating new Facebook profiles for themselves. This is not necessary.

If you have been tricked by one of these scams, here is how you can clean up your browser and Facebook timeline:

Remove bad browser extensions

If you have installed the Chrome extension for Facebook Black, Profile Spy (“See Your Profile Viewers”), or Free PS4, you will need to uninstall it from your browser:

Open the Google Chrome browser.
Type chrome://extensions into the browser address bar.
Click the trash can icon to delete bad extensions
Click Remove at the confirmation dialog

The Google Chrome extension page can help you identify any bad extensions that you have installed. In this preceding example you can see both the “Get PS4” and “See Your Profile Viewers” extensions that have been installed.

To delete a bad browser extension, just click the trash can icon and confirm.

Remove unwanted Facebook pages

The preceding Chrome extensions may be responsible for creating Facebook pages using your profile. Now you should confirm whether or not scammer Facebook pages were created in your account and then remove them:

Click the gear icon at the top right corner of your Facebook profile and select the page you wish to modify.
Once the Facebook page has loaded, click Edit Page at the top.
Select Manage Permissions.
Click Permanently delete [NAME OF PAGE] at the bottom.
Click Delete to permanently remove the Facebook page.

As you can see in this preceding example, a randomly created Facebook page was found being used by scammers. You can prevent friends from being photo-tagged with scammer spam by permanently deleting these scammer Facebook pages.

After page deletion you should arrive back at your main Facebook profile.

Remove scammer posts from your Facebook timeline

In order to keep the scam in circulation, the previously mentioned Chrome extensions have downloaded JavaScript files. These files were responsible for performing scammer activity, including tagging your friends in photos to promote the scam in news feeds.

The last step is to remove the photos the scam extension has posted on your behalf and get a clean Facebook timeline:

Go to your profile timeline.
Scroll through your timeline to check for photos published by the scam.
Hover over the timeline story item and click the pencil icon.
Select Delete Photo.

Deleting the photos left by scammers on your timeline helps stop promotion of the scam.

However, in another scenario, you may be the one who is tagged by a scammer photo in a timeline. In that case, you should report the scam to Facebook:

Hover over the timeline story item and click the pencil icon.
Select Report/Remove Tag.
Check I want to untag myself and I want this photo removed from Facebook and select It’s spam.
Click Continue to confirm.

And now that you have removed bad extensions from your browser, cleaned up your Facebook profile timeline, and reported scammer spam, point your friends to this blog post so that they can clean up their own browsers and Facebook timelines.

Don’t forget to stay vigilant

These clean-up instructions will help you remove scams circulating on Facebook that involve Google Chrome extensions. But, as mentioned before, scammers are relentless; they are likely to change their tactics again and again. Proceed with caution on social networks and avoid installing any browser extensions in exchange for free products or special features.

Symantec customers are protected against these types of attacks by our Web Attack: Fake Facebook Application 3 IPS signature.

Social Scams – Part 1: Reusing Old Scams to Push Browser Extensions

Hacker Medic April 3, 2013 No Comments

Last year, we talked about scams and spam circulating on Facebook in our whitepaper. Social networking scammers often reuse common lures to trick users, such as offering free products or additional features that are not available on their network of choice. What these scammers do differently is find new ways to get more eyeballs to view their specific links. Whether it is likejacking or even convincing users to paste code (an external JavaScript file) into the browser address bar, these scammers are relentless.

Just recently, we published a blog about the Facebook Black scam that has been spreading. While that scam continued to spread, we found two old lures being reused, and also two identical Google Chrome extensions being pushed onto the end user.

“Additional feature” lure

Users of social networks have often requested certain features and wondered whether they would ever be implemented on their favorite sites. One of the most commonly requested features across all social networks has been a way to see who has visited one’s profile. This feature has never been available, yet this lure has been used in scams across many of the most popular social networks over the years.

Figure 1. Photo-tagging spam claiming additional feature

In fact, this lure—commonly found on social networks—is identical to the one used in the Facebook Black scam we posted about recently. Users are redirected through an iFrame on a Facebook page and then taken to a website where they are enticed to install a Google Chrome extension.

Figure 2. Browser extension claiming additional feature

Installing the extension does nothing—except present the user with a set of surveys to fill out in order to unlock the additional feature. The feature never gets unlocked. The only thing that happens is the scammers make money off of every survey completed successfully.

Figure 3. Scammer survey

“Get something free” lure

Let’s face it: people like free stuff. But free stuff on social networks is not really free. The newest products are the most valued by users and scammers know this. This is why they continue to reuse this lure.

Figure 4. Web page claiming to get something free

For instance, in February Sony announced their new video game console, PS4. It is not scheduled to arrive in stores until the year-end holiday season. However, that has not stopped scammers from attempting to trick users by offering a free PS4 test unit that they can keep.

Figure 5. Browser extension claiming to get something free

The Web page for this scam claims that users can get a voucher for a free PS4. In reality, there is no voucher. There is just a browser extension created by scammers.

When users install this browser extension, JavaScript files are downloaded onto the user’s computers. These files then perform various actions in the user’s Facebook account, like creating a Facebook page with an iFrame and posting a photo the user’s friends are subsequently tagged in (see previous Figure 1). And this is how the scam spreads.

Protection

Symantec customers are protected against these types of attacks by our Web Attack: Fake Facebook Application 3 IPS signature.

Be cautious when you see offers for free products on social networks, especially products that are highly sought after. Also, if a feature is not currently available on a social network, chances are there is a reason that it is not available. Do not install browser extensions from unverified sources—even if they offer free products or access to an unavailable feature—and be especially suspicious of anything that is promoted aggressively on your social networks.

Google, for their part, removes malicious Chrome extensions as they find them and are improving their automated systems to help them detect items containing malware.

However, in the next post we provide instructions on how to remove these scammer browser extensions yourself, and how to clean up your Facebook timeline from all the spam left by scammers.

Google Play ?????????????????

Hacker Medic April 2, 2013 No Comments

ワンクリック詐欺とは、アダルト動画に興味のあるユーザーを誘い込み、有料サービスに登録させようとする詐欺行為のことです。このタイプの詐欺は、PC の世界では、この何年もの間よく見られるものですが、スマートフォンが普及するにつれ、スマートフォンデバイスを狙ったワンクリック詐欺も増加しています。こうした詐欺サイトには、興味のある語句で検索したり、スパムメッセージに記載されているリンクをクリックしたりしてアクセスしてしまうことが多いものです。昨年、ワンクリック詐欺を働く Android アプリの存在を確認しましたが、現在は Google Play でもこうしたアプリが見つかっています。

図 1. 詐欺アプリを提供している開発元の例

図 2. ワンクリック詐欺アプリの例

こういったアプリは、インターネット検索と同じように Google Play でキーワード検索を実行すると簡単に見つかります。たとえば、（このブログの執筆時点では）アダルト動画に関連する日本語の単語を入力すると、そうしたアプリの 1 つが検索結果の上位に表示されます。大抵の場合、アプリがユーザーに要求するのは、「ネットワーク通信」許可だけです。アプリによっては、何の許可も要求しないものもあります。これは、ユーザーに詐欺アダルトサイトを開かせるように誘い、詐欺に陥れるための道具としてしか、このアプリが使われていないためです。アプリには余計な機能が付いていないので、ユーザーはアプリが安全だと誤解して、無防備に起動してしまう可能性があります。

図 3. これらの詐欺アプリで通常要求される許可

このタイプのアプリを最初に確認したのは昨年の 1 月のことですが、それよりも前に公開されていた可能性もあります。以降、さまざまな開発元から何度もアプリが公開されています。一時、多くのアプリが理由は不明ながら Google Play から削除されたものの、その数は着実に増え続けています。現在では、複数の開発元がおびただしい数のアプリを毎日公開していることが確認されています。シマンテックで確認している限り、これまで 50 以上もの開発元によって、200 個以上の詐欺アプリが公開されていますが、実際には、おそらくそれ以上の数に上るでしょう。これらのアプリは、最近 2 か月で 5,000 回以上もダウンロードされています。この「サービス」には、99,000 円請求されますが、実際に詐欺グループにお金を払ってしまった被害者の数はわかっていません。2 か月以上もこの商売を続けていることを見ると、詐欺グループにとっては、時間と手間をかけるだけの価値があるのでしょう。

図 4. 詐欺アプリが開くサイトの例

図 5. 動画を見ようとすると表示される登録ページ

興味深いことに、詐欺グループが関心を持っているのは、ワンクリック詐欺だけではないようです。いくつかの開発元は、出会い系サービスアプリも公開していることが確認されています。出会い系サービスがいかがわしいものとされている日本では、詐欺グループがワンクリック詐欺アプリと出会い系サービスアプリの両方に手を染めていても、特に驚きはありません。

図 6. ワンクリック詐欺アプリ（右端）と出会い系サービスアプリの両方をリリースしている開発元

シマンテックは、このブログで説明しているアプリを Android.Oneclickfraud として検出します。アプリを探すときには、アプリがホストされている場所や見つかった場所にかかわらず、信頼できるサイトからダウンロードするようにしてください。ノートンモバイルセキュリティや Symantec Mobile Security などのセキュリティアプリをダウンロードして、デバイスを保護することも有効です。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト（英語）を参照してください。

Japanese One-Click Fraud Campaign Comes to Google Play

Hacker Medic April 1, 2013 No Comments

One-click fraud refers to a scam that attempts to lure users interested in adult-related video to a site that attempts to trick them into registering for a paid service. For many years, it has been common to see this type of fraud on computers. As smar…

2011 ?? 2013 ????????????????????

Hacker Medic April 1, 2013 No Comments

概要
韓国に対する大規模なサイバー攻撃は、過去 4 年間に何回か確認されています。シマンテックが特定したバックドア（Backdoor.Prioxer）は 2011 年の攻撃で浮かび上がったものですが、このバックドアを修正した亜種が 2013 年の攻撃でも検出されています。このバックドアは一般に入手可能なコードをベースにしていますが、同じ個人が 2011 年と 2013 年のどちらの攻撃にも関与している形跡があり、2 つの攻撃には何らかの関係性があるものと示唆されます。

背景
大規模な攻撃が初めて記録されたのは、2009 年 7 月のことでした。この攻撃は、米国の独立記念日に当たる 7 月 4 日に始まり、韓国と米国の政府系や金融系のさまざまな Web サイトに対して分散サービス拒否（DDoS）攻撃が仕掛けられました。2 度目の攻撃は 7 月 7 日、3 度目は 7 月 9 日に発生しています。一連の攻撃に使われたマルウェアは Trojan.Dozer で、電子メールを介して拡散しました。Trojan.Dozer のコードには時限爆弾が仕込まれており、7 月 10 日に発動するように設定されていました。この時限爆弾は、ハードディスク上の各種のファイルを上書きするうえ、ハードディスクの先頭の 1 MB も上書きして MBR とパーティションテーブルを破壊する機能があります。これにより、ハードディスクは、「Memory of the Independence Day（独立記念日を祝して）」という文字列で上書きされてしまいます。

2 度目の大規模攻撃は、2011 年 3 月 4 日に発生しました。このときも DDoS が利用され、同じく米国と韓国の政府系機関が狙われました。ここで使われたマルウェアは Trojan.Koredos ですが、やはり指定されたタイプのファイルを上書きし、MBR を破壊します。この攻撃の調査中に発見されたのが、Backdoor.Prioxer というトロイの木馬です。Backdoor.Prioxer は非常に高度で、ファイルへの感染の仕組みも慎重です。このときの詳しい手口については、以前のブログで紹介しています。

そして、3 度目に当たるのが今回、2013 年 3 月 20 日の攻撃です。この攻撃はハードディスクを上書きするだけで、DDoS 攻撃はないものと見られています。ここで使われている Trojan.Jokra は、MBR とハードディスクの内容を、ファイル形式に関係なく上書きしたうえで、マップされたネットワークドライブを探し、見つかればそれも上書きしようとします。インストールの経路は、電子メールやパッチ管理など複数あるようです。パッチ管理とは自動更新システムで、これが感染してマルウェアを拡散しました。

2011 年の Trojan.Koredos の調査と同様に、Trojan.Jokra に感染したコンピュータのファイルを調べているときに Backdoor.Prioxer の新しい亜種が見つかっています（Backdoor.Prioxer.B と命名されました）。この新しい亜種は、同じ C&C のベースプロトコルを共有していますが、以前の亜種とは異なり IRC 通信のプロキシは行いません。被害を受けたコンピュータへのインストール方法を判定しようとして、このファイルをさらに調べたところ、Trojan.Jokra とのつながりが確認されました。

関連性の発見
Trojan.Jokra のサンプルは Jokra パッカーによって不明瞭化されています。Jokra パッカーはダウンローダの不明瞭化にも利用されていました（2012 年 8 月に、50e03200c3a0becbf33b3788dac8cd46 という MD5 で発見）。このダウンローダは、次の場所から Backdoor.Prioxer をダウンロードします。

http://www.skymom.co.kr/[削除済み]/update_body.jpg

Trojan.Jokra と Backdoor.Prioxer.B のつながりも、Jokra パッカーが基になっています。2013 年の事案で見つかった別のマルウェアサンプル（Trojan.Gen.2）は、Jokra パッカーでパッケージ化され、ビルドのパス文字列を含んでいます。この文字列は、サンプルがディスク上のどこでコンパイルされたかを示しています。

パスは以下のとおりです。

Z:\Work\Make Troy\3RAT Project\3RATClient_Load\Release\3RATClient_Load.pdb

同じ調査で見つかった Backdoor.Prioxer.B サンプルにも、以下のビルド文字列が含まれています。

Z:\Work\Make Troy\Concealment Troy\Exe_Concealment_Troy(Winlogon_Shell)\Dll\Concealment_Troy(Dll)\Release\Concealment_Troy.pdb

2 つのマルウェアが、Z:\work\Make Troy という同じビルドソースディレクトリからコンパイルされたことが、これで明らかになりました。

仕事か趣味か
Jokra パッカーが 1 つのグループに限定されているとすれば、Backdoor.Prioxer.B と Trojan.Jokra のつながりは間違いありません。このパッカーは、検出数がきわめて少ないことから、公然と配布されているわけではなく、韓国に限定されているとシマンテックは考えています。今までのところ Jokra、ダウンローダ、そして「Z:」で始まるビルド文字列を含むバックドア型のトロイの木馬しか対象になっていません。こうした範囲の狭さから、Jokra パッカーが 1 つのグループのみによって使われていることが示唆されます。

Backdoor.Prioxer.B と 2011 年の攻撃とのつながりは、これまで明確にはなっていません。各バージョンの Backdoor.Prioxer が 2 つの攻撃を通じて存在していたとは考えにくく、トロイの木馬は単に調査の過程で検出されただけで、実際には攻撃に関係していなかったという説明も可能でしょう。とは言え、Jokra のつながりを考えると、サンプルはやはり関係していると考えてよさそうです。

最後に、Backdoor.Prioxer サンプルで使われているビルドパス自体が手がかりになります。パスは「Z:\work」ですが、個人のハックティビストがトロイの木馬を保存する場所として「work（作業用）」というラベルのフォルダを使うことは、まずありえません。ハックティビストであれば、トロイの木馬を開発することは仕事ではなく、趣味のようなものだからです。コードを作業用フォルダに保存するのは、コーディングを職業にしている人と考えれば、請負業者として報酬を得ている、あるいは従業員として指示されている何者かが一連の攻撃を実行した可能性があるということになります。