Category Archives: Security Response News

Internet Explorer ???????????????

Hacker Medic April 27, 2014 No Comments

シマンテックは、すべてのバージョンの Internet Explorer に影響するゼロデイ脆弱性（CVE-2014-1776）が報告されていることを確認しています。

Microsoft 社は、限定的な標的型攻撃に悪用されている Internet Explorer の脆弱性についてセキュリティアドバイザリ（2963983）を公開しました。この脆弱性に対するパッチはまだ提供されていません。また、このブログの執筆時点で、パッチのリリース予定日も公表されていません。

シマンテックでテストしたところ、この脆弱性によって Windows XP 上の Internet Explorer がクラッシュすることを確認しています。Microsoft 社は 2014 年 4 月 8 日（日本時間の 2014 年 4 月 9 日）をもって Windows XP のサポートを終了しているため、これは Windows XP ユーザーにパッチが提供されない初のゼロデイ脆弱性となります。ただし、Microsoft 社は、Enhanced Mitigation Experience Toolkit（EMET）4.1 以降のバージョンによって、Internet Explorer に影響するこの脆弱性が緩和され、EMET を Windows XP 上でも使用できることを公表しています。シマンテックセキュリティレスポンスは、EMET を使うことに加えて、Microsoft 社からパッチが提供されるまでは、一時的に別の Web ブラウザを使用することを推奨します。

シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

Bloodhound.Exploit.552

侵入防止シグネチャ

Web Attack: MSIE Use After Free CVE-2014-1776

詳しいことがわかり次第このブログでお伝えします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Zero-day Internet vulnerability let loose in the wild

Hacker Medic April 27, 2014 No Comments

Symantec is aware of a zero-day vulnerability (CVE-2014-1776) that affects all Internet Explorer versions.
Microsoft released recently a security advisory about an Internet Explorer vulnerability (2963983), citing that the security hole was leveraged i…

??? ??? ???? ???? Internet Explorer ???

Hacker Medic April 27, 2014 No Comments

시만텍은 모든 버전의 Internet Explorer에 영향을 미치는 제로데이 취약점인 Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)이 보고되고 있음을 확인했습니다.

Microsoft는 일부 표적 공격에 이용되고 있는 Internet Explorer의 취약점에 대한 보안 권고를 발표했습니다. 현재 이 취약점에 대한 패치는 없으며, 이 글의 작성 시점에는 Microsoft에서 패치 발표일을 밝히지 않은 상태입니다.

시만텍의 테스트에 따르면, 이 취약점은 Windows XP의 Internet Explorer에서 문제를 일으킵니다. Microsoft에서 2014년 4월 8일 자로 이 운영 체제에 대한 지원을 종료한 가운데 이번 취약점은 Windows XP 사용자에게 패치가 제공되지 않은 최초의 제로데이 취약점입니다. Microsoft는 자사의 EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상으로 이 Internet Explorer 취약점을 완화할 수 있으며 해당 툴킷이 Windows XP에서 지원된다고 밝힌 바 있습니다. 시만텍 보안 연구소는 사용자에게 EMET를 사용하면서 벤더가 패치를 제공할 때까지 임시로 다른 웹 브라우저를 사용할 것을 권장합니다.

시만텍은 아래와 같은 탐지 활동을 통해 이 공격으로부터 고객을 보호합니다.

추가 정보가 입수되는 대로 이 블로그를 통해 게시하겠습니다.

업데이트 – 2014년 4월 28일:

Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)을 완화하기 위한 시만텍 권장 사항은 아래와 같습니다.

Microsoft에 따르면, EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상 버전을 사용하여 이 Internet Explorer의 취약점을 완화할 수 있습니다. 이 툴킷은 Windows XP 사용자도 이용 가능합니다. EMET를 사용하기 어려운 경우 VGX.DLL이라는 DLL 파일을 등록 취소하는 방법으로 이 문제를 완화할 수 있습니다. 이 파일은 해당 브라우저에서 VML(Vector Markup Language)을 지원합니다. 대부분의 사용자는 이 방법을 사용할 필요가 없습니다. 하지만 라이브러리의 등록을 취소할 경우 이 DLL을 사용하는 애플리케이션이 더 이상 정상적으로 작동하지 않을 수 있습니다. 또한 시스템에 설치된 일부 애플리케이션에서 이 DLL을 다시 등록할 가능성도 있습니다. 이러한 사항을 고려하여 이 취약점을 노리는 공격으로부터 시스템을 보호하기 위해 아래의 한 줄짜리 명령어를 실행할 수 있습니다. 이 명령어는 해당 취약점의 영향을 받는 모든 운영 체제에서 사용할 수 있습니다.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

시만텍은 대규모 IT 인프라스트럭처를 관리해야 하는 고객을 위해 배치 파일을 개발했습니다.

참고: 사용자는 .bat 확장자를 사용하여 파일 이름을 변경해야 합니다.

이 배치 파일은 DLL 파일의 현재 상태를 확인하고 필요한 경우 DLL을 등록 취소하는 기능을 수행합니다. 배치 파일의 스크립트는 매우 간단하며 이를 바탕으로 특정 시스템 환경의 요구 사항에 맞게 코드를 커스터마이즈할 수 있습니다.

이 취약점을 완화하는 데 특별한 툴이 필요한 것은 아니지만, 향후 발견될 취약점에 대해서는 여기서 소개한 것과 같은 권장 사항의 적용이 불가능할 수 있습니다. 따라서 Windows XP와 같이 지원되지 않는 운영 체제는 가급적 빨리 지원되는 버전으로 대체하는 것이 좋습니다.

Update – May 02, 2014:
Microsoft has released an out-of-band security update to address this vulnerability. For more information, see the following Microsoft security advisory:

Out-of-Band Release to Address Microsoft Security Advisory 2963983

Phishers Pump out Heartbleed Attacks

Hacker Medic April 23, 2014 No Comments

Contributor: Binny Kuriakose

Symantec has recently detected phishing emails related to the Heartbleed Bug. The phisher attempts to gather information by posing as a US military insurance service with a message about the Heartbleed bug.

The Heartbleed bug is a recently discovered security vulnerability affecting OpenSSL versions 1.0.1 to 1.0.1f. This vulnerability was fixed in OpenSSL 1.0.1g. Symantec’s security advisory gives more details on the bug and offers remediation steps.

Spammers and phishers are known to use trending news and popular topics to disguise their payloads. In the case of phishing emails, phishers often cite security concerns to legitimize and disguise their social engineering methods. The payloads of these emails attempt to compel the messages’ recipients into divulging sensitive information.

In this case, the phishers send the following email.

Figure 1. Preview of the Heartbleed phishing mail

There are several interesting attributes of this example which should be pointed out.

According to the X-Mailer header, the sender is using a very old mail client (Microsoft Outlook Express 6.00.2600.0000). Although there are plenty of users still utilizing old email software, it is highly unlikely that a modern online business would be using a desktop mail client to send out security notifications.
Notice the unusual grammar with the usage of “has initiate”. Often, phishers will attempt to quickly capitalize on a new topic. In doing so, they will usually make grammatical errors due to the pressures of sending out a new phishing campaign as soon as possible. Also, phishing emails are often sent by people who don’t speak English as their first language.
Additionally, the phishing email purports to be a security alert from a reputable US military insurance service but contains a “Sign In” page that actually points to a compromised Turkish manufacturing site.

Although this is not an exhaustive list of identifying factors for phishing emails, it highlights some of the irregularities and inconsistencies often seen in phishing campaigns.

As detailed in the official Symantec Heartbleed Advisory, Symantec warns users to be cautious of any email that requests new or updated personal information. Users should not click on any password reset or software update links in these messages. If users need to update or change their personal information, it is best to do so by directly visiting the website.

Operation Francophoned: The Persistence and Evolution of a Dual-Pronged Social Engineering Attack

Hacker Medic April 23, 2014 No Comments

Contributor: Andrea Lelli

Operation Francophoned, first uncovered by Symantec in May 2013, involved organizations receiving direct phone calls and spear phishing emails impersonating a known telecommunication provider in France, all in an effort to install malware and steal information and ultimately money from targets.

This highly targeted dual-pronged attack has proven to be very persistent in the French speaking world. Keeping a close eye on the Francophoned campaign, Symantec observed a resurgence in October 2013 and, early this year, witnessed some changes to the social engineering attack including the use of new malware.

Figure 1. How Operation Francophoned works

According to our telemetry (Figure 2), the Francophoned operation reemerged in October 2013 with a new campaign of spear phishing emails, immediately followed by a lull in activity that could be due to the attackers using this time to process the data acquired from successful attacks and preparing for the next campaign. A few months later, two new campaigns were observed, with a much shorter processing/preparation period in-between. Both of these campaigns used a completely new threat.

Figure 2. Francophoned attacks detected overtime

October 2013 – January 2014: The resurgence of Operation Francophoned
The attackers did not change much during this time period, the social engineering tactics and malware used in the initial campaign (W32.Shadesrat aka Blackshade) remained the same. Victims received spear phishing emails, which impersonated a well-known company, and were lured into downloading fake invoices hosted on a new compromised domain. In some instances, the attackers were more aggressive and called the victims in order to enforce the spear phishing emails over the phone.

February 2014 – Present: Operation Francophoned changes
In February of this year, the campaign took a new turn. The attackers began distributing a new payload from a number of freshly compromised domains, resulting in a sudden increase in infection numbers. However, the payload was different from that used previously (Blackshade), though the attackers still used the same command-and-control (C&C) server. The move to a different payload shows that those behind these attacks are eager to evolve their business and innovate new ways of making money. The new threat used by the attackers, named Trojan.Rokamal, is obfuscated with a DotNet packer and can be configured to perform the following actions:

Downloading and executing potentially malicious files
Performing distributed denial-of-service (DDoS) attacks
Stealing information
Mining cryptocurrency
Opening a back door

The cryptocurrency mining and DDoS functions were not enabled in the Trojan.Rokamal samples used in the operation. As Operation Francophoned is aimed at organizations, disabling these functions makes sense because they would raise several flags and be easily spotted if active in a business environment.

The organizations targeted by Operation Francophoned fall into the sectors shown in Figure 3.

Figure 3. Sectors targeted by Operation Francophoned

Despite an increase of activity this year with the use of Trojan.Rokamal, Operation Francophoned still focuses only on French organizations and speakers based in and outside of France. The following heatmap shows the concentration of the Francophoned attacks around the world.

Figure 4. Operation Francophoned detections worldwide

Language and cybercrime
Operation Francophoned was specifically crafted to target French speakers and proves that language is a major (and often underestimated) factor in the reach and effectiveness of cybercrime campaigns. For example, in terms of countries it is spoken in, French is the second most widely spoken language. It is an official language in 29 countries, spoken by 110 million native speakers, and by another 190 million as a second language. French speakers are concentrated not just in France, but also in wide areas of Africa, nearby European countries, Canada, and various islands around the world. As such, French speakers present a large pool of potential victims who may not have been targeted as heavily as English speakers.

Protection
Symantec advises users to be careful when dealing with suspicious emails and to avoid clicking on suspicious links or opening suspicious attachments. Symantec also recommends verifying a person’s identity when receiving a business related call.

Symantec has the following antivirus, reputation, and heuristic detections in place to protect against this threat:

Aprovechan Interés en Adopción de Bebés para Estafas Electrónicas

Hacker Medic April 21, 2014 No Comments

Una variación de la popular estafa cibernética 419 (419 email scam) está siendo usada por defraudadores electrónicos para aprovecharse de parejas desesperadas por adoptar un niño(a). Una vez que los interesados han sido cuidadosamente involucrados en un proceso de adopción falso, se les pide dinero para cubrir los trámites legales y administrativos.

Aunque los más recientes fraudes 419 se basan principalmente en la inocencia de las víctimas (más que en la ingenuidad por parte de los spammers, quienes distribuyen los correos), algunos defraudadores están empezando a hacer mayores esfuerzos por comunicarse directamente con la víctima para ganarse su confianza. La investigación que hizo Symantec sobre este tipo de fraudes electrónicos reveló que están bien preparados, se presentan de forma convincente y pueden tomar hechos de la vida real para hacer que sus historias sean más creíbles y más coherentes ante cualquier sospecha.

Aunque los fraudes de adopciones falsas ya se habían visto antes, en esta ocasión Symantec observó detalles de antecedentes de la vida real y a defraudadores que hacen un gran esfuerzo por enganchar a sus víctimas.

Figura 1. Correo fraudulento sobre tema de adopción usado para fraude en línea

En lugar de usar historias comunes, donde se ofrece un premio de lotería en el extranjero o se habla de un líder africano que está por morir, este tipo de estafas tiene un enfoque diferente. Por ejemplo, en el correo que Symantec identificó había muchas señales que indicaban que era un fraude, como que, por ejemplo, el mensaje se envió a destinatarios ocultos (a través de cuentas de correo hackeadas, originarias de Hungría pero enrutadas a través de Italia) y el correo requería responder a un proveedor de correo diferente. Estas son características típicas de un fraude donde suele hablarse de una cantidad de dinero inicial, así que decidimos investigar a fondo para averiguar cómo el defraudador pretendía pedir el dinero.

En un intento por hacer que todo pareciera lo más legítimo posible, el estafador cibernético nos hizo pasar por varias etapas antes de finalmente pedir que enviáramos dinero. Durante nuestro intercambio de mensajes –que consistió de 11 correos electrónicos durante dos meses- nos informó con gran detalle sobre la historia de la madre y nos explicó sobre las regulaciones que tienen que ver con una adopción privada e independiente. Incluso nos enviaron un formato falso de adopción, junto con fotos del bebé.

Figura 2. Fotos de bebés ofrecidos en adopción forman parte de esta campaña de estafas 419

Figura 3. Formato de adopción falso usado para ganarse la confianza de la víctima

Cuando el defraudador finalmente decidió pedirnos dinero, se nos solicitó que enviáramos $2,500 dólares para cubrir la “Cuota para la Preparación de la Orden del Tribunal y Documentación”. Esto debía realizarse en un primer pago de $1,500 dólares y otro de $1,000 mediante transferencias electrónicas. Es probable que el defraudador pidiera los pagos de esta manera para que la transacción pareciera más legítima y tuviéramos más confianza.

Figura 4. El defraudador solicita el dinero por la adopción del bebé

Cuando el defraudador proporcionó un nombre y una dirección para recibir el envío del pago, asumimos que esta información era falsa. Sin embargo, buscamos la dirección y esto nos llevó a un descubrimiento sorprendente.

La dirección de la persona a quien deberíamos pagarle era la de un abogado legítimo de Asuntos Familiares y Adopciones (que no tenía nada que ver con este tipo de fraude cibernético). Esto es algo diferente pues generalmente la mayoría de los defraudadores usan un nombre falso, sin embargo, robar la identidad de una persona real puede hacer que el fraude parezca más convincente. La posible víctima, sospeche algo o no, puede buscar el nombre y confirmar que se trata de un abogado legítimo que labora en Estados Unidos. Así que todo parece ser congruente y entonces envían el dinero y con eso se convierten en una víctima consumada del fraude.

La ejecución de este fraude cibernético relacionado con el tema de una adopción muestra un nuevo enfoque por parte de los estafadores 419, algunos de los cules han regresado al punto de origen en su enfoque. En una entrevista con The Economist hace dos años, revelé como algunos defraudadores de este tipo han pasado de enviar mensajes de fraude que parecen oficiales y legítimos a misivas mucho menos profesionales donde se ofrecen grandes cantidades de dinero en escenarios poco probables. Ninguna de estas estafas son muy sofisticadas porque los defraudadores buscan víctimas que se “auto-eligen”.

Este ejemplo de estafas en línea sirve para recordar a los usuarios que no en todos los fraudes donde se pide dinero por adelantado son intentos por lograr que la víctima más crédula caiga en ellos. Algunos defraudadores usan tácticas creativas (como ésta, que durante meses tuvo detalles de antecedentes convincentes y formatos que parecían oficiales). De esta forma, no hay duda de que la imaginación de los estafadores cibernéticos y su creatividad seguirán evolucionando.

SyScan 2014 ?????????????

Hacker Medic April 21, 2014 No Comments

syscan image.png

業界のカンファレンスは、セキュリティに関する新しい動向を知り、最新の情報を入手するうえで絶好の場所です。私が先日参加した SyScan（Symposium on Security for Asia Network）は、毎年シンガポールで開催されているカンファレンスで、世界中からコンピュータセキュリティの研究者が集います。今年の SyScan では、セキュリティに関する俗説が払拭されたほか、いくつか興味深いトピックについて議論が交わされました。今年の SyScan で私が興味を覚えたテーマとデモを以下に挙げておきます。

スマートカーのリスク
最近の自動車はほとんど、エンジンコントロールユニット（ECU）というコンピュータを装備しており、エンジンと他の構成要素との通信が可能です。SyScan 2014 に参加した研究者は、オンラインストアで購入した中古の ECU デバイスを使って、デスクトップ上で自動車環境のシミュレーションに成功したことを報告しました。この研究者によると、加速やブレーキ、ハンドル操作といった基本的な運転操作を実行できたほか、その基盤となっている自動車専用プロトコルも理解できたと言います。つまり、ひとたび攻撃者が ECU の制御権を握ったら、自動車をひととおり制御できるようになるということです。

自動車の ECU を制御できるというのは、窓の開閉やライトの点消灯といった自動機能を操作できることよりもはるかに危険です。攻撃者に ECU の制御権を奪われないようにする万全な対策が講じられないとしたら、それほど怖いことはありません。モノのインターネット（IoT）の一部になる自動車が増えれば増えるほど、これは深刻な問題になるでしょう。Microsoft 社は最近、Windows 車載情報システムの最新バージョンをテストしており、Apple 社からはすでに CarPlay が発表されています。CarPlay は、車に組み込んだディスプレイに iPhone のインターフェースを表示できるエンターテインメントシステムです。

携帯 POS がマルウェアに感染
2014 年には、店頭レジ端末（POS）を狙うマルウェアがすでに出現しており、その一部は小売業界に対する大規模な攻撃にも利用されていました。最近では、携帯 POS（mPOS）端末も標的になりつつあります。mPOS デバイスは、特に中小規模の企業で、カード決済に多く利用されるようになってきています。

大部分の mPOS デバイスは Linux 上で稼働していますが、SyScan に参加した研究者はリムーバブルドライブや Bluetooth を利用して mPOS デバイスに侵入し乗っ取ることに成功したと言います。その主張を証明するために、この研究者は mPOS デバイスにゲーム「Flappy Bird」をインストールし、暗証番号入力ボタンをコントローラとして使って、そのデバイスの液晶画面で Flappy Bird をプレイしました。

また、支払い情報を追跡できるマルウェアがあれば mPOS デバイスを攻撃できるという可能性についても指摘しています。攻撃に成功すれば、オンラインで記録を共有することも、あるいは任意の暗証番号でカードの決済を受け付けるといった特殊な機能を実行することもできるのです。

RFID デバイスと NFC デバイスの普及
今では誰もが、電波による個体識別（RFID）と近距離無線通信（NFC）に対応したデバイスで通信するようになっています。カード式のドアロック、カード型乗車券、非接触型クレジットカードなどが日常的に使われており、電波は至るところに飛び交っています。

「RFIDler」は、汎用タグの読み書きに使われる、オープンソースの低レベル RFID 通信プラットフォームのプロトタイプとして SyScan で提唱されました。RFIDler は、間もなく一般に利用できるようになる予定です。RFIDler は使い方も簡単ですが、損害を与えるのも同じくらい容易であることに注目が集まりました。たとえば、既存のカードはものの数秒もあれば複製できてしまいます。RFIDler プラットフォームの開発者によると、カードのフォーマットが不明な場合でも、プラットフォームの拡張性ゆえに、1 週間足らずで新しいフォーマットを追加できるということです。

今では拡張性の高いリーダーやライターが存在するので、こういったデバイスが攻撃の標的になるのも時間の問題かもしれません。

モバイルセキュリティと匿名性
スマートフォンなしでは生活できないというほどのユーザーであれば、デバイスをなくした結果の深刻さについても考えたことがあるでしょう。そうした不安を和らげるために、SyScan 2014 に参加したある研究者は Android の強化型 ROM ソリューション、通称「Cryptogenmod」を発表しました。Cryptogenmod のベースになっている Cyanogenmod は、Android をベースにしたモバイルデバイス用のオープンソース OS です。Cryptogenmod の目的は、リモートアクセスと物理アクセスに対する保護機能を最小限の ROM に実装することにあります。リモートアクセスに対する保護は、攻撃対象領域を減らすことによって実現しているので、スマートフォンに Web ブラウザやアプリストアは搭載されません。物理アクセスに対する保護はこれよりも複雑で、セキュアなアプリケーションコンテナ、強力な暗号化、悪影響のある環境に関するいくつかの指標などを利用して実現されます。

その他の安全対策として、SIM カードの取り外しや、デバッガの接続を検出する機能も紹介されました。このような行為が検出された場合には、アプリケーションコンテナのマウントが解除され、再度開くためにはパスコードが必要になります。同時に、スマートフォンは自動的にロックされ、所有者でなければ再ログインできなくなります。このソリューションがあれば、スマートフォンを紛失した場合でもデータの安全は確保されます。とはいえ、インターネットに接続されていながら Web を閲覧することもできず、カメラも使えない（カメラからユーザーの位置情報が漏えいすることが知られています）デバイスを使いたいと思うユーザーがいるかどうかは疑問です。それでは、どう考えても「スマートフォン」ではありません。

総じて言うと、スマートフォンも依然として注目を集めるテーマである一方、今後の見通しとして業界の話題が集中しているのは、やはりモノのインターネットです。それほど人々は、時間と労力を節約するためにスマートデバイスへの依存を徐々に強めているのです。

さらに詳しくは、SyScan の Web サイトで公開されているビデオやホワイトペーパーをご覧ください。

??????????????????????????????

Hacker Medic April 21, 2014 No Comments

寄稿: Azam Raza

イースターは他の祝祭日と同様に歓喜で迎えるべき日ですが、プレゼントやショッピングを楽しみ、お祭り気分の広がる日でもあります。しかし、この祝日に広がるのはお祭り気分だけではありません。スパマーもその手練手管を駆使し始めており、イースターに向けてスパムの件数も急増しています。

シマンテックは毎年、イースターにちなんでさまざまなカテゴリのスパムを確認していますが、今年も例外ではありません。シマンテックがこれまで何年にもわたって確認してきたスパムと、今年見つかったサンプルから、何種類かご紹介します。

模造品スパム
大きな祝祭日にはプレゼントが付きものとあって、商品紹介スパム、特に模造品スパムはシマンテックが確認しているなかでも最も目立つカテゴリです。模造品スパムでは、偽物の高級腕時計や宝石類が、目を引くような件名や商品写真を使って宣伝されています。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: “WorldOfWatches” <johnwatson@[削除済み]>
件名: Challenge Ends Easter weekend（イースターの週末、今こそチャンス）

差出人: “DailyPromos” <aacpu@[削除済み]>
件名: Our pick today is- easter14（本日の特選品 – Easter14）

Easter Spam 1.png

図 1. イースターにちなんだ模造品スパム

医薬品スパム
医薬品スパムも、祝祭日が近づくと増えるスパムカテゴリのひとつです。スパムメールには、処方箋不要で医薬品をオンライン購入できると称する医薬品販売サイトへのリンクが掲載されているのが一般的です。リンク先のサイトでは、季節のあいさつ文をバナーに表示して、お祭り気分を煽っています。

Easter Spam 2 edit.png

図 2. イースターにちなんだ医薬品スパム

医薬品スパムの下位カテゴリとしては、ダイエット薬スパムもお馴染みで、複数の言語で確認されています。スパムメッセージで宣伝されているダイエット薬は、認可されている医薬品から、外来植物の薬用抽出物と称するものまでさまざまです。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: “Mackenzie Burns” <monday@[削除済み]>
件名: Begin eating this fruit and lose the fat before Easter Sunday（このフルーツを食べて、今からイースターサンデーまでに脂肪を落とそう）

商品紹介スパム
大手の小売店やブランドショップは、祝祭日に向けてディスカウントやセールを展開しますが、スパマーもそれに便乗しています。スパマーが有名小売店やブランドから発信されたように電子メールを偽装するのは定番ですが、たいていは偽サイトへのリンクが掲載されています。プレゼントのクーポン券進呈を謳う手口も広く使われています。この手のスパムで紹介されている商品は、子供のおもちゃから SUV まで多種多様です。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

件名: Spring Sale Event on all Cars, Trucks, and SUVs!（乗用車からトラック、SUV まで、春の特別セール中!）

差出人: Auto-Dealer-Online <williamw@[削除済み]>

Easter Spam 3 edit.png

図 3. イースターのバナーが表示されている商品紹介スパム

Easter Spam 4 edit.png

図 4. 今年確認されたプレゼントクーポンスパム

名前入りギフト
最近、名前入りギフトが人気を集めており、イースターエッグやイースターバニーに名前とメッセージを入れられると宣伝するスパムがスパマーの間でも流行しています。ほとんどのスパムメールには偽サイトへのリンクが掲載されていますが、なかには不快なコンテンツにリンクされているものもあります。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: Easter Bouquets <rebekkahFAjhLg@[削除済み]>
件名: Make the Easter bunny jealous! Easter flowers（イースターバニーに見せつけちゃおう! イースターに花束を）

Easter Spam 5 edit_0.png

図 5. イースターバニーから子供に名前入りの手紙が届くと謳うスパム

カジノスパム
オンラインカジノやギャンブルを扱ったスパムも祝祭日に増加します。カジノスパムは、サインアップ特典、報酬ポイント、当選のチャンスなどを餌にして被害者を誘います。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: AU_AllSlots @ <AllSlots@[削除済み]>
件名: 25-free spins on Gold-Factory this-Easter（今年のイースターに Gold-Factory スロットでコイン 25 枚分を進呈）

419 詐欺スパム
ナイジェリアスパムは、宝くじの当選金や寄付金などを餌にして、どの祝祭日にも決まって登場します。シマンテックは、孤児院や慈善団体を詐称して不幸な子供への寄付金を募る 419 スパムを確認しています。個人情報を求めてくる迷惑メールは、常に慎重に扱う必要があります。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: suzanne122@[削除済み]
件名: HappyEasterInAdvance,（一足早くハッピーイースター）

その他に今年シマンテックが注目したのは、外国語のイースタースパムの件数です。外国語でイースターにちなんだスパム攻撃は、その多くがプレゼントや商品の紹介であり、カップケーキやジンジャーブレッドの宅配スパムなどが確認されています。

ポルトガル語
差出人: “Cupcake” <contato@[削除済み]>
件名: Páscoa | 件名: Easter（イースター）

ロシア語
差出人: Пасхи <vamdetal@[削除済み]> | 差出人: pasha
件名: Скоро Пасха | 件名: Almost Pasha（もうすぐイースター）

差出人: Пряники <sladkie.pashi@[削除済み]> | 差出人: Gingerbread
件名: Кондитерская мастерская | 件名: Confectionery masterskaâ（お菓子工房）

シマンテックも、皆さまが素敵なイースターをお過ごしになれるようお祈りしたいと思いますが、こうしたスパム攻撃には十分にご注意ください。祝祭日を悪用した迷惑メールや予期しない電子メールには常に警戒が必要です。疑わしいメールに掲載されているリンクはクリックしないようにしてください。また、スパム対策シグネチャを忘れずに更新して個人情報を保護したうえで、楽しいイースターのひとときを安心してお過ごしください。

?????????? 419 ??

Hacker Medic April 21, 2014 No Comments

養子を熱望している夫婦を狙って 419 詐欺のバリエーションを利用する、新手の詐欺が発生しています。その巧妙な手口に騙されて偽の養子縁組み話に乗ってしまうと、被害者は弁護士費用や行政手続き費用を支払うよう求められます。

最近の 419 詐欺のほとんどは、スパマー自身の独創性ではなく被害者の無防備さに頼っていますが、一部の詐欺師は被害者と直接の対話を進めることで信用を勝ち取ろうと考え始めたようです。十分に調査された手口で説得力もあり、ときには話に信憑性を持たせ、詳しく調べられてもボロが出ないように、実話を拝借する場合さえあります。

偽の養子縁組みを利用する詐欺は、古くからあったようですが、今回シマンテックが確認した事例では、実話のような詳しい情報が使われ、詐欺師は長期にわたって徹底的に被害者との対話を続けようとします。

図 1. 養子縁組み話を悪用する詐欺メール

海外の宝くじに当選した、あるいは裕福なアフリカの指導者が死去したなどという筋書きで前渡し金詐欺を仕掛ける典型的な手口の代わりに、今回の詐欺師は、変わったアプローチを取っています。それでも、詐欺を疑わせる兆候は多く見受けられ、たとえばメッセージは匿名の受信者に宛てて送信されています（ハッキングされた Web メールアカウントが利用されており、発信元はハンガリーですがイタリアを経由しています）。また、別の Web メールプロバイダに返信するよう求めてきます。いずれも、前渡し金詐欺によく見られる特徴ですが、詐欺師がどのような方法で金銭を要求してくるのか実際に調べてみることにしました。

この養子縁組み話に少しでも信憑性を持たせようとして、詐欺師は最終的に送金という段になるまでに、いくつもの手続きを用意しています。メールをやり取りするうちに（11 通の返信が必要で、期間は実に 2 カ月にわたりました）、子供の母親についても詳しく語られる一方、公的な斡旋を利用しない私的な養子縁組みに伴う規則についても説明がありました。さらには、偽の養子縁組み書類と新生児の写真まで送ってくるほど用意周到です。

図 2. 419 詐欺で養子縁組みの対象とされた乳児

図 3. 被害者の信頼を得るために用意された偽の養子縁組み書類

最終的に金銭を要求できると詐欺師が判断した段階まで進むと、ユーザーは「裁判所命令の作成ならびに文書費用」に充当するとして 2,500 ドルを要求されます。支払いは、金融機関の電信送金を利用して、1,500 ドルと 1,000 ドルの 2 回に分けて行うよう指示されます。このような支払い方を要求してくるのも、正規の取引であるかのように演出し、被害者がこの詐欺を本物と信じ込むようにするためだと考えられます。

図 4. 詐欺師が養子縁組みの費用を請求してくる

詐欺師が電子送金を受け取るための名前と住所を公開している場合は、その情報も偽物だと考えるところですが、今回示された住所を調べると、驚くべき事実が判明しました。

記載されている受取人の住所は、養子ならびに家族法を扱う弁護士事務所の住所だったのです（もちろん、この弁護士は詐欺とはまったくの無関係です）。ほとんどの詐欺師は、昔からの偽の名前を使って前渡し金詐欺を実行するものですが、実在の人物の身元を乗っ取って使うほうが、詐欺の説得力は増します。標的が無警戒であれば、受取人の名前を探し出して、その人物が本当に米国内で事務所を構えている正規の弁護士だと信じてしまうかもしれません。こういった要素が重なって、最終的にお金を支払うと、新たな被害者の 1 人となってしまいます。

このように養子縁組み詐欺を使うのは、419 詐欺の手口として新たな傾向ですが、詐欺師の一部はちょうど一周して以前の特徴に戻っただけなのかもしれません。筆者は 2 年前のエコノミスト誌によるインタビューで、前渡し金詐欺の詐欺師から送られてくるメッセージが、いかにも正規で本物らしく見える文面から、現実味に乏しいほどの大金で誘う、およそプロらしくない内容に移り変わった経緯を明らかにしました。自ら引っ掛かってしまうような被害者を狙っているため、どの詐欺メッセージも巧妙とはほど遠いものです。

今回の例は、前渡し金詐欺のすべてが、騙されやすい被害者だけを想定して手を抜いたものとは限らないことを思い出させてくれます。なかには、今回の養子縁組みのような作り話に何カ月も掛けて、説得力のある背景情報やそれらしい書類まで用意する創造的な詐欺師もいるということです。詐欺師の想像力と創造性が、これからも進化を続けることは間違いないでしょう。

Heartbleed Representa Risco para Clientes e Internet das Coisas

Hacker Medic April 17, 2014 No Comments

A maior parte do foco com o Heartbleed tem sido referente a sites públicos, mas o bug afeta muito mais do que isso. Ainda que os sites mais populares não estejam vulneráveis, isso não significa que o usuário final possa baixar a guarda.

O Heartbleed também afeta softwares das organizações e corrompe sites, e-mail, chats, FTPs, aplicativos móveis, VPN e atualizadores de software. Em suma, qualquer cliente que se comunique através de SSL/TLS, usando uma versão vulnerável de OpenSSL, está sujeito a ataques.

Além disso, o Heartbleed afeta diversos outros aparelhos além de servidores de Web. Entre eles, proxies e servidores de mídia, games, banco de dados, chat e FTP. Por fim, equipamentos de hardware não estão imunes à vulnerabilidade. Ela pode afetar roteadores, PABXs (sistemas telefônicos corporativos) e, provavelmente, uma série de aparelhos que possuem Internet – IoT (Internet da Coisas, em português).

O ataque a estes servidores de software e hardware por meio da vulnerabilidade Heartbleed é feito de forma semelhante a um ataque a sites vulneráveis. No entanto, golpes a clientes podem acontecer essencialmente da forma reversa.

Normalmente, a exploração do Heartbleed vem sendo descrita como um cliente atacante que envia uma mensagem maliciosa para um servidor vulnerável e este equipamento expõe os dados privados. No entanto, o contrário também acontece. Uma empresa vulnerável pode se conectar a um servidor e ele pode enviar uma mensagem maliciosa de Heartbeat para o cliente – que cliente responderá com dados adicionais encontrados em sua memória, potencialmente expondo credenciais e demais dados privados.

Figura 1. Como um cliente vulnerável é atacado

Felizmente, enquanto os clientes estão vulneráveis, pode ser difícil explorá-los em cenários do mundo real. Os dois principais vetores de ataque são instruir o cliente a visitar um servidor SSL/TLS malicioso ou sequestrar a conexão a partir de fraquezas não relacionadas. Ambos apresentam uma complicação adicional para o atacante.

Direcionar o cliente a um servidor malicioso

Um exemplo simples de como um cliente pode ser explorado é por meio de um navegador Web vulnerável. É preciso simplesmente convencer a vítima a visitar uma URL maliciosa para permitir que o servidor atacante consiga acesso à memória do navegador Web do cliente. Isso coloca em risco conteúdos como cookies de sessões anteriores, sites visitados, dados de formulários e credenciais de autenticação.

Os navegadores mais populares não utilizam OpenSSL, mas as bibliotecas NSS (Network Security Services) são vulneráveis ao Heartbleed. No entanto, muitos clientes Web de linha de comando usam OpenSSL (por exemplo, wget e curl) e estão suscetíveis.

O fato de um atacante precisar enganar o usuário para que visite um site malicioso pode mitigar parte do risco, mas isso nem sempre é necessário. Imagine um serviço online de tradução de idiomas que você fornece uma URL para uma página em francês a um serviço automatizado e o serviço traduzirá o conteúdo para o inglês. Nos bastidores, o serviço está buscando o conteúdo na página em francês usando seu próprio cliente de backend. Se você fornecer a URL de um servidor malicioso, o cliente de backend será explorado e o atacante pode coletar informações sensíveis como códigos ou credenciais do serviço de tradução.

Sequestro de conexão

Direcionar clientes para um servidor malicioso conforme descrito acima exige a instrução das pessoas para que visitem servidores arbitrários. No entanto, muitos clientes podem contatar apenas um domínio pré-definido, hard-coded. Nestes casos, ainda assim a pessoa pode ser explorada. Em redes abertas compartilhadas como algumas redes públicas de Wi-Fi, o tráfego pode ser visível e alterado por outros, permitindo que os atacantes redirecionem clientes vulneráveis. Normalmente, SSL/TLS (por exemplo, HTTPS, navegação Web criptografada) é uma das soluções para este problema, já que a criptografia evita o eavesdropping (espionagem do tráfego da rede) e redirecionamento. Porém, é possível enviar mensagens maliciosas de Heartbeat antes da sessão SSL/TLS estar plenamente estabelecida.

Um atacante pode entrar em uma rede pública e espionar (eavesdrop) vítimas em potencial. Quando uma vítima em potencial utiliza um cliente vulnerável para estabelecer uma conexão SSL/TLS com um servidor legítimo, o atacante redireciona a conexão para o servidor malicioso. Antes que a conexão SSL/TLS esteja plenamente estabelecida e tenha chance de bloquear qualquer redirecionamento, o atacante pode enviar uma mensagem maliciosa de Heartbeat, extraindo os conteúdos da memória do computador da vítima. Isso pode incluir dados privados como credenciais de autenticação.

Figura 2. Como um atacante pode sequestrar e redirecionar um cliente vulnerável em uma rede aberta compartilhada

Além da orientação prévia, nós também recomendamos:

Evite visitar domínios desconhecidos com qualquer software de cliente, que aceite mensagens Heartbeat usando bibliotecas vulneráveis OpenSSL;
Não utilize os serviços de proxy que não receberam patches;
Atualize softwares e hardwares conforme os fornecedores disponibilizarem patches;
Use um cliente VPN e serviço não vulnerável ao Heartbleed quando estiver em redes públicas.