Category Archives: Security Response News

Lime Pop: Android.Enesoluty ?????????

      No Comments on Lime Pop: Android.Enesoluty ?????????

Android.Enesoluty を運用している犯人グループは、アプリサイトのホスティングに使うドメインを 100 以上も登録したり、それらのドメインからスパムを送信したりと、昨年の夏以来、活発な活動を見せています。このグループは、現在もマルウェアの亜種の開発に余念がないようです。数日前に、シマンテックは Android.Enesoluty の新しい亜種を発見しました。

これまでの亜種と同様に、アプリページへのリンクが掲載されたスパムが、何も知らないユーザーに送りつけられています。

spam.png

図 1. 無防備なユーザーをアプリページに誘導するスパム

アプリページに新しく登録された悪質なアプリは「Lime Pop」という名前で、偶然にも(とは言いがたいかもしれませんが)、ある大人気のゲームアプリと名前が酷似しています。ページの最後に利用規約へのリンクが表示される点も従来の亜種と同じです。このアプリはデバイスから個人情報をアップロードするという説明が書かれていますが、こうした利用規約が掲載されているのは、法律上の抜け道を作る目的と思われます。

site.png

図 2. 利用規約へのリンクがあるアプリページ

Android.Enesoluty の新しい亜種とは言っても、以前の亜種と異なるのはマルウェアの外見的な変化だけです。以前の亜種はバッテリ節約アプリや電波改善アプリ、セキュリティアプリを装っていましたが、今回は GUI を一新し、ゲームのように見せかけています。このアプリを起動すると、ゲームサーバーへの接続を試行中であるというメッセージが表示されますが、次の瞬間には「通信状況を確認してください」という指示に変わります。この時点ではもう、連絡先のデータが詐欺グループのサーバーにアップロードされています。

app.png

図 3. 最新の亜種で使われているスキン

ソースコードは他の亜種とほとんど同じですが、新しい機能や機能強化が追加されています。

この詐欺の標的は日本のユーザーにほぼ限定されていますが、それでもやはり、言語を問わず Android ユーザーは全員この手の詐欺に警戒する必要があります。このブログですでにおわかりのように、目新しい手口は何も使われていません。毎度おなじみの作戦で、ただ新しい武器がひとつ増えたにすぎません。アプリを探すときには、必ず信頼できるサイトからダウンロードするようにしてください。また、アプリのダウンロードを誘う電子メールや SMS メッセージのリンクをタップする前に、一度立ち止まって再考しましょう。ノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをデバイスにインストールすることも有効です。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Lime Pop: The Next Android.Enesoluty App

      No Comments on Lime Pop: The Next Android.Enesoluty App

The gang that maintains Android.Enesoluty has been busy since last summer registering over one hundred domains used to host app sites and sending spam from these domains. It is now apparent that the group is also still busy developing malware variants….

Different Wipers Identified in South Korean Cyber Attack

      No Comments on Different Wipers Identified in South Korean Cyber Attack

Our analysis of Trojan.Jokra, the threat which recently caused major outages within the Korean Broadcasting and Banking sectors, has produced another wiper.
Security researchers the past few days have been discussing the wiper component found in this T…

New Tidserv Variant Downloads 50 MB Chromium Embedded Framework

      No Comments on New Tidserv Variant Downloads 50 MB Chromium Embedded Framework

Tidserv (a.k.a. TDL) is a complex threat that employs rootkit functionality in an attempt to evade detection. The malware continues to be on the Symantec radar since its discovery back in 2008. The latest variant of Tidserv being distributed in the wil…

????????????????????? Web ???

      No Comments on ????????????????????? Web ???

寄稿: Ayub Khan

シマンテックは、危殆化したインドの Web サイトにホストされているフィッシングサイトについて継続的に監視を行っています。2011 年には、危殆化したサイトの詳しい調査を実施しましたが、2012 年もフィッシングサイトについて同様の調査を実施しました。

2012 年の 8 月から 11 月にかけて、全フィッシングサイトのうち 0.11% が、危殆化したインドの Web サイトをホストとして利用していました。フィッシング詐欺師は、フィッシングサイトをホストするために多くの分野でインド国内のサイトを狙い続けています。こうしたインドのサイトは多様なカテゴリに分類されますが、標的となった大部分のサイトは、IT 関連(14.40%)、教育関係(11.90%)、製品販売・サービス(9.80%)、工業および製造業(7.30%)、観光・旅行・運輸(5.80%)でした。政府系、電気通信、ISP などセキュリティの高い Web サイトの比率は低く、リストの下位に位置しています。このことから、脆弱な Web サイトほどフィッシングの標的になりやすいことは明らかです。
 

Indian websites 2 edit 2.png

図 1. フィッシング詐欺の侵入を受けたインドの Web サイトのカテゴリ
 

教育関係は、2011 年には標的となった Web サイトの最上位を占めていましたが、2012 年になると 2 位に下がっていることに注目してください。とはいえ、インド全土の各種学校や大学を含む教育関係は、依然としてフィッシング詐欺に好んで悪用されています。教育関係のカテゴリが上位を占めたのは、ラージャスターン、アーンドラプラデーシュ、デリー、マハーラーシュトラ、パンジャーブの各州でした。都市別で上位を占めたのは、ジャイプル、ハイデラバード、デリー、チャンディガル、バンガロールでした。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blackhole ?????????????????????

      No Comments on Blackhole ?????????????????????

ヨーロッパ連合(EU)の財政危機は最近、劇的な展開を見せています。EU でも特に人口の少ない加盟国であるキプロスで、普通預金の残高に対して 1 回限り 10 パーセントの課税計画が発表されました。全島の銀行で口座が封鎖され、議会では前例のない措置について討論されています。その間、不安を抱える口座名義人は、自分たちの預金の行方について事態の推移を見守るしかありません。株主や投資家ではなく、一般の顧客です。

悪名高い Blackhole 悪用ツールキットについては、このブログでも過去に何度となく取り上げてきましたが、その Blackhole もキプロスの一般市民の不安心理につけ込み、事態の新展開を報じるニュースを装った電子メールを送りつけています。

図 1. Blackhole 悪用ツールキットが送る悪質な電子メール

メッセージは、英国放送協会(BBC)ニュースサイトのおすすめ記事紹介サービスから送信されたことになっています。送信元アドレスも、BBC おすすめメッセージを名乗る件名と同様に詐称されたものです。

メッセージからリンクされるランディングページは、「Cyprus Crysys [sic] – BBC(キプロス機危 [原文まま] – BBC)」というタイトルで、BBC の実際のニュースに偽装しています。このページには、「You will be redirected to news(ニュースサイトにリダイレクトされます)」とも書かれています。

図 2. Blackhole 悪用ツールキットが偽装した BBC ニュースのランディングページ

実際のリダイレクト先は、おなじみの Blackhole 悪用ツールキットのページで、そこには Adobe Flash Player や Adobe Acrobat Reader、Java の脆弱性を狙ういくつかの悪用コードが仕掛けられています。数秒後にはタイマー機能が実行され、今度は本物の BBC Web サイトにリダイレクトされます。

図 3. Blackhole 悪用ツールキットで不明瞭化された、脆弱性を悪用する JavaScript

前述したように、キプロスは EU でも特に人口の少ない加盟国ですが、この国で起きる出来事の影響はそれ以上に大きい意味を持っています。ギリシャの多くの人々が、最近の財政危機と政治的不安定のなか、預金を保全するためにキプロスの銀行に資金を移動したからです。また、キプロスはロシア企業にとってオフショアセンターとしても大きな役割をはたしています。

その後、キプロス議会がこの課税案を否決したため、新しい Blackhole 悪用ツールキットのソーシャルエンジニアリングメールでは、北米の大手銀行が使われるようになっています。マルウェアの作成者が、情勢の変化にいかに迅速に対処するかという見本です。

Symantec.cloud では、50 件以上の Web サイトが危殆化し、Blackhole 悪用ツールキットの最新のソーシャルエンジニアリング攻撃へのリダイレクトに利用されていることを確認しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Indian Websites Pursued by Phishers

      No Comments on Indian Websites Pursued by Phishers

Contributor: Ayub Khan
Symantec has been constantly monitoring phishing sites hosted on compromised Indian websites. In 2011, our study detailed these compromised sites and we did a similar study of phishing sites in 2012.
From August 2012 to November …

????????: Facebook Black ?????????

      No Comments on ????????: Facebook Black ?????????

Facebook をお使いであれば、3 月 19 日頃、Facebook Black というアプリについて友達からの投稿が増えたことに気づかれたかもしれません。
 

図 1. Facebook の写真用プラグイン「Faecbook Black」(タイプミスがあることに注意)
 

これまでの詐欺と同様、ユーザーがタグ付けされた写真に、外部 Web サイトへのリンクが仕掛けられています。この例では、リンクは説明欄ではなくコメント欄にあります(図 1)。
 

図 2. iframe によってランディングページにリダイレクトされるが、一瞬だけこのページが表示される
 

Facebook へのリンクをクリックすると、Facebook ページにリダイレクトされます。リダイレクト先のページには iframe が設定されており(図 2)、何度かのリダイレクトを経て最終的に行き着くページでは Facebook Black のインストールを促されます。

これまでにシマンテックで確認され、Facebook Black のランディングページへ誘導されるサイトの例を以下に示します。

  • photocurious.com
  • phototart.com
     

図 3. Facebook Black のページ

次にユーザーは、Google Chrome 拡張機能をインストールするよう誘導されます(図 4)。

図 4. Facebook Black の偽の Chrome 拡張機能

この拡張機能を使い、Amazon の Simple Storage Service(Amazon S3)にホストされている 2 つの JavaScript ファイルがダウンロードされます(図 5)。

図 5. 拡張機能によりさらにファイルがダウンロードされる
 

これらの JavaScript ファイルは、被害者のアカウントを通じて詐欺を拡散し続けるために使われます。そのために、被害者のアカウントに新しい Facebook ページを作成します。このページに、ユーザーを Facebook Black のランディングページへリダイレクトするページへの iframe が含まれています(図 6 と図 7)。

図 6. ユーザーアカウントに新しいページが追加される

図 7. 新しく作成された Facebook ページに iframe によるリダイレクトが含まれている([Welcome]タブ

最終的に、この Facebook 拡張機能をインストールしたユーザーには、一連のアンケート詐欺が表示され(図 8)、詐欺師はここから利益を得ようとしていることがわかります。
 

図 8. 拡張機能のインストール後に表示されるアンケート詐欺
 

シマンテック製品をお使いのお客様は、Web Attack: Fake Facebook Application 3 の IPS シグネチャでこの攻撃から保護されています。偽の Chrome 拡張機能は、Trojan Horse として検出されます。

Google は、Chrome 拡張機能のいくつかをすでに削除しており、悪質な拡張機能に対する自動検出をさらに改善するとしています。この詐欺に引っかかってしまったユーザーは、Chrome 拡張機能をアンインストールし、作成された Facebook ページを削除してください。

 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????????????

      No Comments on ?????????????????????????

寄稿: Saurabh Farkade

ベネディクト 16 世の退位から新法王フランシスコの選出まで、バチカン市国はここ数週間、ニュースの見出しを飾り続けてきました。スパマーにとっても、便乗してマルウェアを拡散する絶好の機会です。

シマンテックセキュリティレスポンスで最近確認されているスパム拡散攻撃は、Blackhole 悪用ツールキットをホストしているサイトにユーザーを誘導しようとします。ただし、シマンテック製品をお使いであれば、この脅威は Blackhole Toolkit Website として検出されますのでご安心ください。

スパムメールは、送信元として知名度の高いニュースチャネルを騙っています。攻撃には、以下のような件名が使われています。

  • 件名: Opinion: Can New-Pope Benedict be Sued for the Sex Abuse Cases? -(論説: 新法王ベネディクト、幼児への性的虐待で告訴か?)[削除済み]
  • 件名: Opinion: New Pope, Vatican officials sued over alleged sexual abuse! -(論説: 新法王、性的虐待の疑惑で公式に告訴!)[削除済み]
  • 件名: Opinion: New Pope Sued For Not Wearing Seat Belt In Popemobile… – (論説: 新法王、専用車両でのシートベルト非着用により起訴…)[削除済み]

電子メールで使われているドメインは、いずれも最近登録されたものです。電子メールに記載されたリンクをクリックすると、危殆化した Web サイトにリダイレクトされ、そのサイトにペイロードがホストされています。次の図は、今回使われている悪質なメールのスクリーンショットです。

大手通信社の知名度を悪用すると攻撃の成功率は高くなりますが、シマンテック製品をお使いのお客様は、このような脅威からも複数レベルの対策で保護されています。オンラインの脅威から身を守るために、大量送信されたニュースメールは開かないように、そしてセキュリティソフトウェアを最新の状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????? Linux Wiper ????

      No Comments on ????????????????? Linux Wiper ????

韓国の銀行と放送局が受けたサイバー攻撃については、第一報を本日すでにお伝えしました。その後、Linux コンピュータを消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されました。
 


図 1. リモートの Linux コンピュータを標的にする bash wiper スクリプト
 

Trojan.Jokra のドロッパーには、リモートの Linux コンピュータを消去するモジュールが含まれています。複数のオペレーティングシステムで動作するコンポーネントが確認されることは珍しく、今回のように Linux コンピュータを消去するコンポーネントが Windows マルウェアの内部に仕掛けられているのは異例のことです。このモジュールは Windows 7 と Windows XP のコンピュータで mRemote というアプリケーションを探します。mRemote は、複数のプロトコルに対応したオープンソースのリモート接続マネージャです。mRemote アプリケーションは、接続を保存する設定ファイルを以下のパスで管理しています。

%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml
 

図 2. mRemote のパス情報の解析
 

Trojan.Jokra のドロッパーはこの XML ファイルを解析し、ルート権限で SSH プロトコルを使う接続を探します。そして、その接続で使われているパラメータを抽出します。
 

図 3. mRemote 設定ファイルの接続情報の解析
 

続いてドロッパーは新しいスレッドを生成し、bash スクリプトを %Temp%\~pr1.tmp に投下します。そのうえで、mRemote の設定ファイルから解析した接続情報を利用して、リモートの Linux コンピュータ上で /tmp/cups として、この一時ファイルをアップロードし、実行します。
 

図 4. リモートコマンドの実行
 

この bash スクリプトは、任意の Linux ディストリビューションで動作するように設計された wiper の一種です。SunOS、AIX、HP-UX の各ディストリビューションで特定のコマンドを使って実行されます。消去されるのは、/kernel、/usr、/etc、/home の各ディレクトリです。

シマンテックはこの攻撃の調査を続けており、詳しいことが判明し次第、更新情報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。