????????? Gameover Zeus ????????????????
国際的な法執行機関により、金銭詐取を目的としたボットネットや Cryptolocker ランサムウェアネットワークの背後にいる攻撃グループが所有している大規模なインフラが押収されました。
Category Archives: Security Response News
Energy Bill Spam Campaign Serves Up New Crypto Malware
Everyone hates getting bills, and with each new one it seems like the amount due just keeps getting higher and higher. However, Symantec recently discovered an energy bill currently being emailed to people that will hit more than just your bank account.
A recent spam campaign sending out emails masquerading as an Australian energy company is serving up the Cryptolocker malware…or at least that’s what the spammers want you to think. Once users become infected, they are told they are infected with Cryptolocker (Trojan.Cryptolocker) however, upon further research, Symantec discovered that the malware is not related to the original Cryptolocker virus and is merely a copycat attempting to cash in on the hype and infamy of Cryptolocker.
Energy bill gives users a shock
This particular spam campaign requires a lot of work from the victim to work but once it does, the user’s files will be encrypted and all the spammers have to do is wait for their ransom payment.
To infect users with the crypto malware, the spammers use a fake bill to lure recipients to a malicious website; however, the malware is not hosted here and it is just an evasive manoeuvre to evade any link-following technologies.
The email appears to be a legitimate electronic bill from an Australian energy company, complete with a balance outstanding. The recipient just has to click a link to view their bill.
Figure 1. Energy bill spam email
Once the link is clicked the user is directed to a website that appears to be a CAPTCHA entry page, but the numbers never change. Once the user enters the fake CAPTCHA and hits submit, they are directed to the next page, which contains a link to download the energy bill.
Figure 2. Fake CAPTCHA page
Figure 3. Download page
Clicking on the download link will save a zip file to the user’s computer. The folder contains an executable file disguised with a PDF icon in an effort to trick unsuspecting users into opening it. Opening this malicious file will cause all files on the compromised computer to be encrypted. Following this, a text file opens, informing the user that they have been hacked and that they must send an email to a specific address in order to get their files decrypted.
Figure 4. Text file
Figure 5. Notification of compromise
The malware also checks to see if Outlook or Thunderbird is installed on the compromised computer and, if so, harvests the email addresses in the user’s contact list. The addresses, which are presumably used to further spread the malware, are uploaded to the following remote location:
[https://]royalgourp.org/[REMOVED].php
Protection
Symantec advises users to be cautious of emails that request new or updated personal information. Users should also avoid clicking on links in suspicious messages.
Symantec detects this malware as Trojan.Cryptolocker.F
Messaging gateway and .cloud customers are protected from this spam campaign.
?? ?? ???? ??? ?? Gameover Zeus ??? ?? ??
Large swathes of infrastructure owned by the attackers behind the financial fraud botnet and Cryptolocker ransomware network seized by authorities.
Read more…
International Takedown Wounds Gameover Zeus Cybercrime Network
Large swathes of infrastructure owned by the attackers behind the financial fraud botnet and Cryptolocker ransomware network seized by authorities.
Read more…
?????????????? Bankeiya ???????????
悪用コードや、侵害を受けた Web サイトからダウンロードされたファイルを介して拡散している情報盗難型のマルウェアファミリーによって、日本のオンラインバンキング利用者が狙われています。
Bankeiya Malware Targets Users in Japan with or Without Vulnerabilities
Online banking customers in Japan are being targeted by an information stealing malware family that is distributed using exploits as well through files downloaded from a compromised website.
Read more…
Adobe Flash ????????????????????????????
シマンテックは 5 月中旬、Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)を悪用する攻撃が徐々に増加していることを確認しましたが、この傾向はまだ続いています。シマンテックの調査によると、現在この攻撃は大規模な範囲で行われており、その大部分は日本を標的としていることがわかっています。
4 月にさかのぼると、CVE-2014-0515 は当初、特定の組織や業界を狙った水飲み場型攻撃で悪用されていました。その後同じ 4 月に Adobe 社はこの脆弱性に対するパッチをリリースしましたが、シマンテックの遠隔測定によると、それから数週間が経った現在では、当初の標的ではなく幅広いインターネットユーザーを狙って悪用コードが使われていることが判明しています。
図 1. Adobe Flash Player の脆弱性を悪用する攻撃の大部分は日本を標的に
図 1 に示すように、この脆弱性を悪用する攻撃の 90% 以上は日本のユーザーを標的としています。攻撃は主にドライブバイダウンロードによって実行され、悪質なコードをホストする、侵害された正規の Web サイトが利用されています。そういった Web サイトから、攻撃者が用意した悪質なサイトにトラフィックがリダイレクトされます。
日本での攻撃を引き起こすように侵害された Web サイトは次のとおりです。
- his-jp.com(旅行代理店)
- jugem.jp(ブログサービス)
- pandora.tv(動画共有サービス)
上記の Web サイトに加えて、JUGEM レンタルサービスを使用しているブログサイトも影響を受けていました。
ブラウザが悪質なサイト(IP アドレス 1.234.35.42)にリダイレクトされると、CVE-2014-0515 の悪用を試みる悪用コードが読み込まれます。古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、マルウェア Infostealer.Bankeiya.B に感染してしまいます。このマルウェアがユーザーから銀行口座情報を盗み取るのです。
図 2. 日本のユーザーを狙う攻撃件数の推移
図 3. 日本のユーザーを狙う攻撃の累積件数
Infostealer.Bankeiya.B は、Google Chrome、Mozilla Firefox、および Microsoft Internet Explorer を監視し、通常オンラインバンキング取引で使われる特定のユーザーデータを収集します。
また、Infostealer.Bankeiya.B は自身を更新して、さらにほかの銀行を標的にしたり別の悪質な処理を実行するための機能を追加したりすることができます。
Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)は広範囲に悪用されているため、Adobe Flash を最新のバージョンに更新することをお勧めします。オペレーティングシステムやコンピュータにインストールされているアプリケーションだけでなく、ブラウザで使用しているプラグインにもパッチを適用することが重要です。
保護対策
シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。
ウイルス対策
侵入防止システム
- Web Attack: Adobe Flash Player CVE-2014-0515 2
- Web Attack: JRE Concurrency CVE-2012-0507
- Web Attack: Malicious Java File Download 9
- Web Attack: Suspicious Executable Image Download
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Phishing for Apple IDs: Keep an Eye Out for Suspicious Emails
Following reports of Apple IDs being compromised and devices being held for ransom in Australia and New Zealand, Apple issued a statement to ZDNet proclaiming that their iCloud infrastructure had not been breached. They went on to warn users to “change their Apple ID password as soon as possible and avoid using the same user name and password for multiple services.” Symantec would like to advise owners of Apple devices to keep an eye out for emails attempting to phish for Apple ID login credentials.
Going Phishing for Apple IDs
While there have been no confirmed reports as to how these Apple IDs were compromised, one possible explanation is phishing scams. Due to all the media attention this event has received, Symantec is cautioning users to be skeptical of emails claiming to be from Apple. This event presents scammers with more credibility when attempting to phish for Apple IDs, especially now that many users are concerned about the safety and security of their Apple IDs and devices.
What does an Apple ID phishing email look like?
Figure 1. Example of an Apple ID phishing email from early May
There are a number of different Apple ID phishing emails that have been in circulation in recent months. The emails adopt some of the following subject lines:
- Please update your Apple account now
- Apple – Your Account Is Not Confirmed
- Please Verify Account Information For Your Apple ID
- please verify the email address associated with your Apple ID
These subjects are used to trick users into opening emails, improving the odds that they may click on the links within them.
What does an Apple ID phishing page look like?
If a user clicks on a link within the phishing email, they are directed to a Web page that on the surface looks like the real My Apple ID page. However, if users check the address bar, they will see a suspicious URL for a website that is not secure (HTTPS), which should raise suspicion.
Figure 2. Example of an Apple ID phishing Web page
Once the attacker harvests the Apple ID login and password, they direct users to a second phishing page that asks for financial and personal information, such as credit card number, date of birth, and a security question.
Figure 3. Apple ID phishing page requests financial details
Once this information has been submitted, the user is directed back to the real Apple.com. However, their Apple ID along with their personal and financial details have now been compromised.
Localized phishing for Apple IDs
In addition to the English language phishing sites, we have also observed instances of Apple ID phishing sites localized for targets in other countries.
Figure 4. Apple ID phishing page localized for China
Figure 5. Apple ID phishing page localized for Italy
In addition to these localized versions, we found some Apple ID phishing sites that require a target to select his or her country to make sure they are served the correct, localized phishing page.
Figure 6. Apple ID phishing page asks users to select localized version
These countries include the United Kingdom, the United States, Canada, Italy, Germany and Other, which is just another English version of the phishing page.
Ways to Prevent Apple ID Phishing
- Watch out for suspicious emails. If you receive an email claiming that your Apple ID has been disabled or that you need to update your information, do not click on the link within the message. Open up a browser tab and browse to apple.com instead.
- Pay attention to the address bar. If you happen to click on a link in an email, look closely at the URL in your address bar. If the URL looks suspicious, like the examples shown in this blog, do not type in your Apple ID and password. In modern browsers, look for the green lock symbol and “Apple Inc.” to confirm you are on the real Apple website.
- Enable two step verification for your Apple ID. With two step verification enabled, if your Apple ID is phished, an attacker cannot log in to your account without obtaining physical access to your cellphone or other trusted devices.
Recent Exploit for Adobe Flash Vulnerability Targeting Users in Japan for Financial Information
In mid-May, Symantec observed a gradual uptick in attacks exploiting the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515), and we continued to monitor this trend. Symantec’s research now indicates that the attacks are being performed on a massive scale and that majority of them are focused on Japan.
Back in April, CVE-2014-0515 was originally being exploited in watering-hole attacks against specific organizations or industries. Later in the same month, Adobe released a patch for the vulnerability. However, just a few weeks later Symantec telemetry indicated that instead of the initial targets, the exploit was now being used to target a wider range of Internet users.
Figure 1. Attackers using the Adobe exploit mostly targeting Japan
As seen in Figure 1, more than 90 percent of the attacks exploiting the vulnerability are targeting Japanese users. The attacks are typically carried out through drive-by-download and leverage compromised legitimate websites to host malicious code. The websites then redirect traffic to a malicious site prepared by the attacker.
The following websites were compromised to trigger attacks in Japan:
- his-jp.com (travel agency)
- jugem.jp (blog service)
- pandora.tv (video sharing service)
In addition to the above websites, blog sites that use the JUGEM rental service are also affected.
Once the browsers are redirected to the malicious site, which has the IP address 1.234.35.42, they render the exploit code that attempts to exploit CVE-2014-0515. If an older version of the software is installed on the computer, the attack will execute a series of malicious files to compromise the computer with the malware Infostealer.Bankeiya.B, which steals banking information from users.
Figure 2. Daily number of attacks on Japanese users
Figure 3. Cumulative number of attacks on Japanese users
Infostealer.Bankeiya.B monitors the Web browsers Google Chrome, Mozilla Firefox and Microsoft Internet Explorer. The Trojan gathers specific user data typically found in online banking transactions.
The malware can also update itself, enabling it to target more banks and add more capabilities in order to perform additional malicious actions.
Since the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515) is used heavily in the wild, Symantec advises users to update Adobe Flash to the latest version. It is important to patch not only the operating system and applications installed on computers, but also any plug-ins used by browsers.
Protection
Symantec customers are protected against this attack with the following detections:
AV
IPS
????? Apple ID: iPhone?iPad?Mac ???????????????
オーストラリアやニュージーランドで、多くのユーザーの Apple ID が侵害されています。Apple サポートコミュニティやソーシャルネットワークでは、Apple 社製のデバイスがリモートからロックされ、Oleg Pliss(Oracle 社のソフトウェアエンジニア)と名乗る人物から身代金を要求されたという報告が見られます。攻撃者は、ランダムに選んだ Oleg 氏に罪を着せようとしているようです。
図 1. ロックされた iPhone の身代金要求メッセージ
Apple 社製デバイスで発生している現象
最初に寄せられた報告によると、多くの Apple ID が侵害され、それらの Apple ID を使って iPhone、iPad、Mac がロックされました。Apple ID がどのように侵害されたのか正確にはわかっていませんが、フィッシング攻撃や脆弱なパスワード、パスワードの使い回しなどが原因の可能性があります。Apple 社のサイトや iCloud にサインインするための電子メールやパスワードに関する別のデータ侵害によって Apple ID の侵害が引き起こされた可能性もあります。
攻撃者は、侵害された Apple ID を使って iCloud の「iPhone を探す」機能にアクセスできます。この機能を使うと、インターネットに接続されているデバイスの所在地を特定したり、「紛失モード」機能を有効にしたりすることができます。「紛失モード」機能を有効にすると、攻撃者は、サウンドの再生、デバイスのロック、身代金要求メッセージの表示などをリモートから実行できます。
どのような場合でも、身代金は支払わないでください。身代金を支払っても、攻撃者がデバイスのロックを解除してくれる保証はありません。
侵害された Apple ID への対処方法
デバイスがロックされたのは、Apple ID が侵害されたことが原因です。まずは Apple ID アカウントにサインインして、パスワードが勝手に変更されていないことを確認する必要があります。変更されていなかったら、すぐにパスワードを変更してアカウントを保護してください。念のため、変更した後に iCloud アカウントにサインインしてから、すべてのブラウザで iCloud からサインアウトしてください。
ロックされたデバイスへの対処方法
侵害が発生する前にデバイスにパスコードを設定していた場合には、パスコードを入力すればロックを解除できます。
しかし、パスコードを設定していなかった場合、ロックは解除されません。これは、攻撃者が「紛失モード」機能を有効にするときに、デバイスにパスコードを設定する必要があるためです。この場合は、Apple サポートに連絡してサポートを受ける必要があります。ただし、多くのユーザーからの報告によると、デバイスを復元するためには、デバイスをワイプしてバックアップから復元するしか方法がありません。
Apple ID とデバイスを保護する方法
今回の攻撃による被害を受けていない場合でも、Apple ID とデバイスを保護するために、次のセキュリティ対策を確認して実施しておくことをお勧めします。
- iPhone や iPad にパスコードを設定する。この点が最も重要です。デバイスのロックを解除するのにパスコードの入力が必要なのは面倒かもしれませんが、パスコードは、デバイスへの物理的な不正アクセスを防止するための基本的なセキュリティ対策です。また、これにより、デバイスを工場出荷時の設定に戻す必要がなくなります。
- Apple ID に強力かつ固有のパスワードを設定する。強力なパスワードを作成するのにヘルプが必要な場合は、パスワードジェネレータを使うとともに、LastPass、1Pass、KePass、ノートン ID セーフといったパスワードマネージャの使用を検討してください。
- Apple ID に 2 ステップ確認を設定する。2 ステップ確認は任意のセキュリティ機能という位置付けですが、有効にしておくと、iPhone やその他の信頼済みデバイスに物理的にアクセスできない限り、攻撃者があなたの Apple ID にアクセスするのは、さらに難しくなります。
- デバイスのバックアップを実行する。バックアップを取っておけば、工場出荷時の設定に戻す必要がある場合でも、設定、メッセージ、写真やドキュメントを失うことはありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。