Category Archives: Security Response News

Simple njRAT Fuels Nascent Middle East Cybercrime Scene

      No Comments on Simple njRAT Fuels Nascent Middle East Cybercrime Scene

Symantec has observed the growth of indigenous groups of attackers in the Middle East, centered around a simple piece of malware known as njRAT. While njRAT is similar in capability to many other remote access tools (RATs), what is interesting about this malware is that it is developed and supported by Arabic speakers, resulting in its popularity among attackers in the region.

The malware can be used to control networks of computers, known as botnets. While most attackers using njRAT appear to be engaged in ordinary cybercriminal activity, there is also evidence that several groups have used the malware to target governments in the region.

Symantec analyzed 721 samples of njRAT and uncovered a fairly large number of infections, with 542 control-and-command (C&C) server domain names found and 24,000 infected computers worldwide. Nearly 80 percent of the C&C servers were located in regions in the Middle East and North Africa, including Saudi Arabia, Iraq, Tunisia, Egypt, Algeria, Morocco, the Palestinian Territories and Libya. 

figure1_18.png
Figure 1. Majority of njRAT C&C servers are found in the Middle East and North Africa

The majority of the C&C server IP addresses were traced to ADSL lines, which indicates that most attackers using the malware could be home users in the Middle Eastern region.

njRAT is not new on the cybercrime scene. It has been publicly available since June 2013 and three versions have already been released, all of which can be propagated through infected USB keys or networked drives.

The malware has the basic features common in most RATs. It can download and execute additional malware; execute shell commands; read and write registry keys; capture screenshots; log keystrokes; and snoop on webcams.

Strong online support for Middle East home users
The main reason for njRAT’s popularity in the Middle East and North Africa is a large online community providing support in the form of instructions and tutorials for the malware’s development. The malware’s author also appears to hail from the region. njRAT appears to have been written by a Kuwait-based individual who uses the Twitter handle @njq8. The account has been used to provide updates on when new versions of the malware are available to download.

figure2_16.png
Figure 2. The creator of njRAT announcing in a tweet that version 0.7 of njRAT is available to download.

Symantec has also located the malware author’s WordPress webpage, which redirects to another Blogspot webpage. The latter displays visitor statistics, indicating that majority of the blog’s visitors come from Saudi Arabia as shown below:

figure3_10.png
Figure 3. The visitor statistics of @njq8’s Blogspot Web page

Technical support and tutorials on using njRAT are widely available on the Web. Symantec has found numerous video tutorials in the Arabic language containing step-by-step processes for downloading and setting up the malware, including steps such as dynamic DNS naming for C&C servers. This level of support enables attackers in the region to easily to build tools and server components for njRAT.

figure4_8.png
Figure 4. Description of a video tutorial of how to build an njRAT on hacking group MaDLeeTs’s website

figure5_6.png
Figure 5. The latest three tutorials on Anonymous Iraq’s YouTube channel are on obfuscating njRAT to evade antivirus software

Hacker groups launch targeted attacks with njRATs
Most njRAT users seem to be home users who are interested in online pranks such as spying on webcams or taking screenshots of victims’ computers. However, infections have also been recorded on the networks of a number of governments and political activists.

Symantec has identified 487 groups of attackers mounting attacks using njRAT. These attacks appear to have different motivations, which can be broadly classed as hacktivism, information theft, and botnet building.

One such group is the S.K.Y.P.E/Tagged group, which has C&C servers hosted in Egypt and Algeria. The group’s vector for infection is a screensaver hosted on the file sharing site ge.tt. When victims download the compressed .rar file containing the screensaver, they get an executable containing njRAT.

figure6_1.png
Figure 6. The infected screensaver created by the S.K.Y.P.E/Tagged group on the ge.tt file sharing site

It is also interesting to note that the infected file hosted on ge.tt was dated November 20, 2012, because njRAT only became publicly available in June 2013. It would appear that njRAT had already been created prior to that date and it is likely that the malware was disseminated among small groups of people, such as on a closed Web forum, prior to its public release.

Symantec has also observed that infection numbers spiked around the time this copy of njRAT was uploaded on ge.tt. The S.K.Y.P.E/Tagged group uses two C&C servers: njratmoony.no-ip.biz and njr.no-ip.biz. The number of newly infected computers reporting to both servers spiked in October and November of 2012.

figure7_1.png
Figure 7. The daily infection rate of computers reporting to the S.K.Y.P.E/Tagged group’s C&C servers, njratmoony.no-ip.biz and njr.no-ip.biz

njRAT signals growing cybercrime community
As large numbers of Middle Eastern attackers continue to use njRAT due to its accessibility, Symantec expects that they will try to find new ways of obfuscating the malware to evade detection by antivirus software. They are likely to continue to use njRAT since an Arabic speaking community and its Arabic author continue to provide support for the malware.

The more advanced threat actors, such as hacker groups, may continue to use njRAT for targeted attacks in the short term. For example, a report by the Electronic Frontier Foundation (EFF) and Citizen Lab found that njRAT is one of a number of tools being used to target Syrian opposition groups during the Syrian conflict. However, Symantec anticipates that such groups will eventually depart from using publicly-available tools like njRAT and begin to develop their own tools and more advanced RATs for cyberattacks.

Symantec detects this threat as Backdoor.Ratenjay.

Ataques Dirigidos al Sector Energético

      No Comments on Ataques Dirigidos al Sector Energético

La energía es crucial para mantener nuestro estilo de vida moderno, por ello resulta inquietante el incremento anual de intentos de ataques reportados contra las compañías e industrias que la proveen. En la primera mitad de 2013, el sector energético fue el quinto más atacado a nivel mundial, recibiendo el 7.6 por ciento de todos los intentos de ciberataquesen el mundo, lo que se traduce en siete ataques dirigidos por día. Por ello no es de sorprender que en mayo de 2013 el Departamento de Seguridad Nacional de Estados Unidos de América advirtió sobre un incremento en la ola de ataques orientados a sabotear los procesos en las compañías energéticas. En Symantec, nuestros investigadores descubrieron que las empresas tradicionales de servicios públicos de energía están particularmente preocupadas por los escenarios creados por amenazas como Stuxnet o Disttrack / Shamoon, los cuales pueden sabotear instalaciones industriales.

En este escenario estamos aprendiendo que los agresores que tienen como blanco al sector energético también intentan robar propiedad intelectual sobre nuevas tecnologías, como generadores de energía eólica y solar, o diagramas de exploración de campos de gas. Si bien los incidentes de robo de datos pueden no representar una amenaza inmediata y catastrófica para una organización, pudieran ser aprovechados para crear una amenaza estratégica a largo plazo y la información robada podría ser utilizada en el futuro para realizar acciones más dañinas.

La motivación y origen de los ataques dirigidos a este sector pueden ser variable; desde la solicitud de un competidor para tomar acciones contra compañías de energía con el fin de ganar una ventaja de forma sucia, hasta grupos de “hackers a sueldo” como la agrupación Hidden Lynx  que están más que dispuestos a realizar este tipo de acciones. También se pueden encontrar hackers patrocinados por naciones para atacar empresas de energía, en un intento por desactivar infraestructura crítica; los grupos de “hacktivistas” también pueden atacar a las empresas para promover sus propios objetivos políticos. En este sentido los investigadores de Symantec saben que las amenazas pueden provenir de cualquier parte del mundo, y algunas veces, los responsables pueden estar familiarizados con los sistemas de la empresa e incluso dentro de la misma compañía, con la intención de llevar a cabo ataques para extorsionar, sobornar o como venganza. Las interrupciones en la operación también pueden simplemente ocurrir por accidente, como una mala configuración o un problema del sistema, por ejemplo en mayo de 2013, la red eléctrica en Austria estuvo cerca de sufrir un apagón debido a un problema de configuración.

Nuestras investigaciones han encontrado que los sistemas de energía modernos se están volviendo más complejos. Existen controles de supervisión y de adquisición de datos (SCADA, por sus siglas en inglés) o sistemas de control industrial (ICS, por sus siglas en inglés) que se sitúan fuera de los muros de protección tradicional. Conforme la tecnología de redes inteligentes siga ganando impulso y más sistemas nuevos de energía estén conectados al Internet de las cosas, se podrían abrir nuevas vulnerabilidades de seguridad relacionadas con tener un sinnúmero de dispositivos conectados a Internet. Adicionalmente, muchos países han comenzado a abrir su mercado energético y han añadido pequeños contribuyentes a la red de energía eléctrica, como plantas hidroeléctricas privadas, turbinas eólicas o colectores solares. Si bien, estos sitios más pequeños representan sólo una pequeña parte de la red, las entradas de alimentación de energía descentralizada pueden ser un desafío para la gestión, y más si los recursos de TI son limitados, por lo cual se deben monitorear cuidadosamente con el fin de  evitar pequeños cortes o interrupciones, que podrían ocasionar un efecto dominó en las redes más grandes.

En este sentido vemos la necesidad de una estrategia colaborativa que combine la tecnología con componentes de seguridad industrial para proteger la información de la industria energética. Para contribuir con este esfuerzo, Symantec realizó un estudio amplio sobre los ataques que se llevaron a cabo en el sector energético durante los últimos 12 meses. La investigación presenta los hechos y las datos sobre impactos, además de incluir información sobre los métodos, motivaciones, y la historia de estos ataques.

Para descargar una copia del informe de clic aquí.

También preparamos la siguiente infografía con el fin de ilustrar algunos de los hechos clave alrededor de los ataques dirigidos al sector energético.

Infografia-Ataques-Sector-Energetico-SPA-LR.jpeg
 

??????????????????????????

      No Comments on ??????????????????????????

今年 1 月の後半、熱烈なファンであればコーチェラフェスティバルのチケットを買い求めたことでしょう。コーチェラフェスティバルは、2 週連続で週末の 3 日間をかけて毎年開催されるイベントですが、これを狙った詐欺師によるフィッシング攻撃が、2 月末まで続いていました。

コーチェラフェスティバルのチケット販売を扱っている Front Gate Tickets 社は 2 月末、チケットの購入者に電子メールを送り、このフィッシング攻撃について以下のように警告しています。

「このフィッシングでは偽の Web サイトが使われています。コーチェラフェスティバルのチケットをお買いになった方が Front Gate のアカウントにアクセスするためのログインページに酷似したデザインですが、ユーザー名とパスワードの情報を取得するために偽装されたものです」

この電子メールではさらに、フィッシング用のリンクが掲示板やスパムメールでも出回っていること、攻撃者はチケット購入者が掲示板に投稿した電子メールアドレスを収集していたことなどについても説明が続きます。

この攻撃が仕掛けられたのは、コーチェラフェスティバルで入場券代わりになるリストバンドが参加者宛てに出荷された直後です。それを考えると、攻撃者はチケット購入者のアカウントにアクセスし、登録されている郵送先住所や電話番号、電子メールアドレスを変更してリストバンドを詐取しようとしていたに違いありません。実際、コーチェラフェスティバルの掲示板でも、あるユーザーからこれを裏付ける投稿がありました。

「私はアカウント情報を元に戻すことができましたが、登録されている住所や電話番号、電子メールアドレスは変更されていました。念のため確認したおかげでチケットを失わずに済んだのはラッキーでした」

今回の事件は、デジタル時代の音楽ファンにとってよい教訓になります。コーチェラフェスティバルのチケット進呈を謳う偽の Facebook ページを作るだけだった詐欺が、わずか 2 年足らずのうちに、直接フィッシングメールで参加者を標的にして、リストバンドを盗み出すという手口にまで発展したのです。

今年開催されるのは、もちろんコーチェラフェスティバルだけではありません。今後数カ月の間に、サスカッチ、ボナルー、アウトサイドランズ、ロラパルーザなどさまざまな音楽フェスティバルが米国内だけでも予定されており、世界中ではさらに多くの音楽フェスティバルが開催されます。

フェスティバルに参加する方は、掲示板のスレッドで電子メールアドレスを共有しないことをお勧めします。どうしても共有する必要がある場合には、掲示板に用意されている非公開メッセージの機能を使ってください。

チケットの購入後、参加予定のイベントについて詳しい情報を確認するためと称して、リンクを掲載し、ログインを求めてくる電子メールを受け取った場合には、むやみにリンクをクリックせず、新しいブラウザまたはタブを開いて公式サイトにアクセスしてください。電子メールに疑わしい点がある場合には、チケット販売者や音楽フェスティバルの公式サイトで連絡先の電話番号や電子メールアドレスを探し、確認を依頼してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

ATM ?? SMS ???????????????????????

      No Comments on ATM ?? SMS ???????????????????????

daniel_blof_header_image_cropped.png

企業に対しても一般家庭ユーザーに対しても、サポート終了間近の Windows XP 環境をそれ以降のバージョンにアップグレードするよう求める声は日増しに大きくなっています。機能強化が必要ないとしても、セキュリティとサポートのために必須のアップグレードです。ATM も基本的には、現金へのアクセスを制御するコンピュータであり、ATM の 95% 近くは Windows XP 上で稼働していることがすでに知られています。2014 年 4 月 9 日に予定されている Windows XP のサポート終了を目前に控えた今、金融機関は ATM を標的とするサイバー攻撃の深刻な危機に直面しています。しかも、これは仮想危機などではありません。現実に起こっている危機であり、サイバー犯罪者が ATM を狙う手口はますます巧妙になっています。

2013 年 10 月には、このブログでもお伝えしたとおり、新しい ATM マルウェアがメキシコで確認されており、攻撃者は外付けキーボードを使って ATM から自由に現金を引き出していました。この脅威は、Backdoor.Ploutus と命名されています。その数週間後には、このマルウェアがモジュール式のアーキテクチャへと進化したことを示す新しい亜種も発見されました。この新しい亜種は英語版にもローカライズされており、作成者が活動範囲を他の国や地域にも広げつつあることを示唆しています。新しい亜種は Backdoor.Ploutus.B として検出されます(このブログでは一貫して「Ploutus」と呼びます)。

Ploutus のこの亜種で特徴的なのは、侵入先の ATM に SMS を送信するだけで、サイバー犯罪者は ATM を使って現金を払い戻すことができたという点です。信じられないかもしれませんが、この手口は今でも世界中の至るところで使われています。

今回は、この手口がどのように機能するのかを紹介します。

ATM_blog_infographic_fig1.png
図 1. 攻撃者が携帯電話を使って ATM から現金を引き出す手口

携帯電話から ATM に接続
攻撃者は、ATM の内部に接続した携帯電話を使って ATM をリモートで制御します。携帯電話を ATM に接続する方法はいくつかありますが、一般的なのは USB テザリングと呼ばれる設定を使う方法です。実質的には、携帯電話とコンピュータ(この場合は ATM)との間で共有インターネット接続が確立されることになります。

ATM に Ploutus を感染させるには、攻撃者が携帯電話を正しく設定し、ATM に接続する必要があります。必要な手順がすべて完了すると、完全な双方向接続が確立され、携帯電話の準備が整います。

携帯電話は USB ポートを介して ATM に接続されているので、電力もその接続から供給され、携帯電話本体が充電されます。このため、携帯電話は電源の入った状態を無限に維持できます。

ATM に SMS メッセージを送信
携帯電話を ATM に接続し、設定が完了すると、攻撃者は ATM 内部に接続された携帯電話に特定の SMS コマンドメッセージを送信できるようになります。所定の形式の新しいメッセージを検出すると、携帯電話はそのメッセージをネットワークパケットに変換し、USB ケーブルを通じて ATM に転送します。

このマルウェアにはネットワークパケットモニター(NPM)のモジュールがあり、パケット盗聴の機能を果たして、ATM に向かうすべてのネットワークトラフィックを監視します。侵入先の ATM が有効な TCP パケットまたは UDP パケットを携帯電話から受信すると、NPM がそのパケットを解析し、パケット内の特定のオフセットで「5449610000583686」という数字を探します。データのパッケージ全体を処理することが目的です。この特定の数字が見つかると、NPM は次の 16 桁を読み込み、それを使って Ploutus 実行のコマンドラインを作成します。このコマンドは、たとえば次のような形式になります。

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

以前のバージョンの Ploutus では、主犯格がこの数字をマネーミュール(送金仲介人)と共有する必要がありました。そのため、万一マネーミュールがこの数字の意味に気づいた場合には、主犯格の人物から金銭を詐取できる可能性がありました。今回のバージョンでは、16 桁の数字がマネーミュールには見えないため、主犯格はセキュリティの強化を図ることができ、現金の引き出しを一括管理できるようになっています。この数字の有効期限は 24 時間です。

SMS メッセージを使って ATM をリモートで制御する方法は、離れたところからほとんど瞬時に成功するため、この犯罪に関与する誰にとってもはるかに便利です。主犯格は、マネーミュールが引き出す金額を正確に把握でき、マネーミュールは現金が出てくるまで長時間 ATM の付近にとどまっている必要がありません。主犯格とマネーミュールが動作を同期させていれば、マネーミュールが現金を払い戻す振りをするか、単に ATM の前を通り過ぎるだけで、現金を引き出すことができます。

攻撃全体の流れ
この攻撃が機能する細かい手口は以上に見たとおりなので、これが全体としてどのように機能するのか概要を見てみましょう。

ATM_attack_ploutus_attack_overview_fig2.png
図 2. Ploutus による ATM 攻撃の概要

プロセスの概要

  1. 攻撃者は ATM に Ploutus をインストールし、USB ケーブルを使って携帯電話を ATM に接続します。
  2. コントローラにより、2 通の SMS メッセージが ATM 内部の携帯電話に送信されます。
    1. 1 通目の SMS には、ATM で Ploutus を起動する有効なアクティブ化 ID が含まれています。
    2. 2 通目の SMS には、現金を引き出すための有効な払い戻しコマンドが含まれています。
  3. 有効な SMS メッセージの着信を検出した携帯電話は、TCP パケットまたは UDP パケットとしてそれを ATM に転送します。
  4. ATM 内部では、ネットワークパケットモニターモジュールが TCP/UDP パケットを受信し、それに有効なコマンドが含まれていれば Ploutus を実行します。
  5. Ploutus によって ATM から現金が引き出されます。払い戻される現金の額は、マルウェア内部であらかじめ設定されています。
  6. マネーミュールによって ATM から現金が回収されます。

シマンテックは、Ploutus に感染した実際の ATM を使って、この攻撃を実験的に再現することに成功しました。この攻撃が成功する様子を短い動画でご確認いただけます。

Default Chromeless Player

このデモ動画では Ploutus マルウェアを使っていますが、シマンテックセキュリティレスポンスでは、同じように ATM を標的とする別種のマルウェアもいくつか確認しています。Ploutus の場合、攻撃者は ATM 内部から現金を盗み出そうとしていますが、シマンテックが解析した一部のマルウェアでは、別の悪質なソフトウェアを使って中間者攻撃を仕掛けている間に、顧客のキャッシュカード情報と暗証番号を盗もうとします。ATM から現金を引き出すといっても、最も有効な方法という点では攻撃者によって考え方も違うようです。

ATM を保護するために何ができるか
最近の ATM は、ハードディスクドライブの暗号化などによってセキュリティ機能が強化されているため、こうした侵入の手口も防ぐことができます。しかし、依然として Windows XP 上で動作している旧型の ATM の場合、特にそれがありとあらゆる遠隔地にすでに設置されているとなると、Ploutus のような攻撃を防ぐことはかなり困難です。また、ATM の内部にあるコンピュータの物理的なセキュリティに対処が必要という別の問題点もあります。ATM 内の現金は金庫で厳重に保管されていますが、コンピュータはそうではないためです。旧型の ATM で物理的なセキュリティがこのように不十分な場合、攻撃者はそれだけ有利になります。

犯罪者にとっての難易度を高くするためには、以下のようにさまざまな対策が考えられます。

  • Windows 7 や Windows 8 など、サポートされているオペレーティングシステムにアップグレードする。
  • 物理的に十分な保護を実施し、ATM に監視カメラの設置を検討する。
  • CD-ROM や USB ドライブなど、許可されていないメディアから起動できないように BIOS の機能を制限する。
  • ディスク全体暗号化ソフトウェアを使って、ディスクの改変を防ぐ。
  • Symantec Data Center Security: Server Advanced(旧称、Critical System Protection)などのシステム保護ソリューションを使う。

こうした対策をすべて実施すれば、内部に共犯者がいないかぎり、攻撃者が ATM に侵入することはかなり難しくなります。

シマンテックのコンシューマ向け保護、エンドポイント保護、サーバー保護の各ソリューションは、当面の間 Windows XP を引き続きサポートしますが、Windows XP をお使いの場合には、できるだけ速やかに新しいオペレーティングシステムにアップグレードすることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Word ????????????????

      No Comments on Microsoft Word ????????????????

Microsoft 社は 3 月 25 日、Microsoft Word に影響するパッチ未公開の脆弱性が新たに見つかったというセキュリティアドバイザリを公開しました。攻撃者は、Microsoft Word に存在するメモリ破損の脆弱性(CVE-2014-1761)を悪用して、標的となるコンピュータにリモートでアクセスできるようになります。アドバイザリでは、この脆弱性は限定的な標的型攻撃で悪用されていたと報告されています。

不明な RTF 文書を開かないように注意するだけでなく、このようなファイルを Outlook でプレビューすることも避けてください。攻撃者にこの脆弱性を悪用される恐れがあります。Outlook の一部のバージョンでは、電子メールに添付されている RTF 文書のデフォルトビューアが Microsoft Word に設定されていることに注意してください。

まだパッチは公開されていませんが、悪用のリスクを最小限に抑えるためにいくつかの回避策があります。Microsoft 社は、Microsoft Word で RTF コンテンツを開けないようにする Fix it 修正ソリューションを提供しています。また、Outlook で電子メール表示をプレーンテキストに限定するように設定して、この問題の影響を軽減することもできます。

Microsoft 社は、Enhanced Mitigation Experience Toolkit(EMET)を使えばこの悪用を適切に遮断できるとしていますが、これは他の回避策を適用できない場合の代替策と考えてください。

Microsoft 社からパッチが公開されたら、できるだけ速やかに適用することをお勧めします。

シマンテックセキュリティレスポンスは、CVE-2014-1761 の悪用からお客様を保護するために、以下の検出定義を提供しています。

ウイルス対策

侵入防止システム

シマンテックは現在、追加の確認に取り組んでおり、詳しいことがわかり次第このブログでお伝えする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Music Festival Attendees: Beware of Phishing Scams

      No Comments on Music Festival Attendees: Beware of Phishing Scams

In late January this year, eager fans purchased tickets for Coachella, an annual two-weekend, three-day music festival but were later targeted by scammers in a phishing campaign that persisted up till the end of February.

Front Gate Tickets, the company responsible for handling the festival’s ticketing had sent an email to ticket buyers at the end of February warning users on the phishing campaign stating:

“The phishing involved a fraudulent website designed to look like the login page for Coachella ticket buyers to access their Front Gate accounts, built in an attempt to capture username and password information.”

The email went on to explain that the phishing links were circulated on message boards and email campaigns, and that the perpetrators had harvested the email addresses of ticket buyers who posted them publicly on message boards.

The timing of this campaign happened right before the wristbands used for entry into Coachella were shipped out to attendees. Based on this, it’s clear that the perpetrators of the campaigns had intended to access accounts of ticket buyers to modify the mailing address, phone number and email on file in order to have the wristbands shipped to them. One user on the Coachella message board confirmed this to be the case:

“I was able to get my information put back on the account yet they changed the address, phone and email on file. Glad I double checked and didn’t lose my tickets!”

This incident is an important lesson for the modern music fan. In just two years, scammers have gone from merely creating fake Facebook pages offering tickets to Coachella to directly targeting attendees with phishing emails to steal their wristbands.

Coachella is not the only music festival happening this year. In the coming months, festivals like Sasquatch, Bonnaroo, Outside Lands, Lollapalooza and others will be taking place throughout the United States and even more festivals happening in other parts of the world.

Symantec Security Response encourages festival attendees to not share their email addresses on message board threads. If sharing is necessary, use the board’s built-in private messaging function.

If you’re a ticket buyer and you receive an email with a link asking you to log in to find out more information about your upcoming event, do not click on it blindly. Instead, open up a new browser or tab to visit the official website to log in. If the email seems suspicious, find a contact number or email address on the ticket distributor’s or music festival’s website and seek their assistance instead.

O Décimo Aniversário do Primeiro Malware Para Dispositivos Móveis

      No Comments on O Décimo Aniversário do Primeiro Malware Para Dispositivos Móveis

mwc_10years_tube_map_infographic.png

Figura. Uma breve história de malwares para dispositivos móveis.

 

O ano de 2014 marca o décimo aniversário da criação do primeiro malware para dispositivos móveis. Tudo começou em 2004, quando a primeira variante do SymbOS.Cabir foi submetida para os pesquisadores de segurança. A análise revelou que o worm tinha como alvo o Symbian OS, um sistema operacional bastante popular para dispositivos móveis naquela época.

Telefones infectados se utilizavam do Bluetooth para pesquisar outros dispositivos próximos que estivessem com o modo de descoberta ativado e então tentava se disseminar para o outro aparelho. O usuário tinha que aceitar a transferência do arquivo e também o processo de instalação antes do malware infectar efetivamente o dispositivo. Essa característica limitou a proliferação do vírus, já que a vítima deveria estar no raio de alcance do Bluetooth e também autorizar o processo de cópia e instalação.

Mas este foi apenas o começo. Várias outras variantes do Cabir apareceram com diferentes modificações. Algumas dessas variantes tinham como objetivo o roubo de informações como os contatos do celular enquanto outras tinham uma atuação mais parecida com um vírus clássico, infectando outros arquivos locais.

Poucos meses depois, uma versão modificada de um jogo chamado Mosquito apareceu na Internet. Junto com o jogo, que era bastante popular, essa versão modificada também trazia o trojan Trojan.Mos, que enviaria mensagens de texto (SMS) em segundo plano para números de serviços pagos, acarretando gastos para o proprietário do dispositivo. Esse foi o primeiro caso amplamente visto em dispositivos móveis de um malware com finalidade de lucro financeiro.

A mesma tática vem sendo utilizada nos dias de hoje em centenas de jogos para a plataforma Android, que depois de instalados, enviam mensagens de texto e consomem tráfego de Internet no celular.

Logo após o Mosquito, apareceram as primeiras versões do Skull. A ameaça recebeu esse nome porque uma de suas características era substituir o ícone da maioria das aplicações pela imagem de uma caveira. O malware também substituiu arquivos de sistema e de aplicativos por lixo, impossibilitando o seu funcionamento correto, tornando o telefone quase inutilizável. Para a nossa sorte, naquela época a categoria ransomware não era popular, caso contrário nós veríamos o malware tentando sequestrar as informações do usuário dentro do próprio dispositivo.

Isso mudou em 2013 quando nós vimos as primeiras amostras desse tipo de software malicioso também para dispositivos móveis. Essas ameaças focam mais em manter o telefone refém ao invés dos próprios dados, já que sincronizações das informações dos dispositivos são frequentes e cópias de segurança são realizadas regularmente para ambientes cloud.

Em 2005, o SymbOS.CommWarrior.A entrou em cena. Ele estendeu o vetor de propagação para incluir o envio de mensagens MMS para vários números da lista de contatos. Esse malware teve bastante êxito em sua tarefa e variantes do CommWarrior foram vistas em redes de dispositivos móveis por anos. Em 2006, o Trojan.RedBrowser.A estendeu para outros sistemas operacionais as ameaças que enviam mensagens de texto para números de serviços pagos, sistemas esses que suportavam a plataforma JME. Esse foi o primeiro Trojan para JME com a capacidade de infectar diferentes plataformas para dispositivos móveis.

Dentro de um ano os dispositivos móveis tiveram que lidar com malwares muito similares àqueles encontrados em computadores tradicionais, incluindo worms, Trojans para roubo de dados e com fins lucrativos, e vírus que infectavam outros arquivos. Se isso não fosse suficiente, a ascensão das categorias adware e spyware não passaram desapercebidas nos dispositivos móveis. O Spyware.FlyxiSpy, lançado em 2006, foi comercializado e teve muito sucesso em monitorar atividades de um dispositivo móvel. Uma vez instalado, ele monitorava detalhes de ligações telefônicas e mensagens de texto SMS e enviava as informações para um servidor remoto. O malware foi anunciado como a melhor solução para pessoas que queriam monitorar seus cônjuges. Ameaças similares seguiram e evoluíram nesse mesmo caminho, permitindo o monitoramento de todos os passos do usuário.

Com muitos bancos online passando a utilizar mensagens de texto SMS em seus métodos de verificação de transações, os criminosos também seguiram o mesmo rumo. Como resultado, em 2010, autores de códigos maliciosos introduziram o SymbOS.ZeusMitmo, uma ameaça capaz de encaminhar mensagens de texto de transações bancárias dos dispositivos comprometidos para os criminosos. Isso permitiu que eles continuassem a cometer suas fraudes bancárias online. A idéia foi tão bem-sucedida que, em pouco tempo, surgiram vários malwares com o propósito de explorar serviços de transações de bancos online, para diversas plataformas móveis, exceto para iOS.

Quando o Android se tornou a maior plataforma de dispositivos móveis em 2011, os criadores de malwares começaram a tomar ciência disso. O método preferido de vetor de distribuição para os ataques se tornaram aplicativos com Trojans, usando algumas técnicas de engenharia social para torná-los mais atraentes. Por exemplo, o Android.Geinimi foi um dos primeiros bots de sucesso para dispositivos móveis, disfarçado como uma aplicação real. Desde então botnets para dispositivos móveis tem se tornado popular e são usadas em sua maioria para fraudes, entre outros tipos de ataques.

O Android.Rootcager chegou no mesmo ano e foi a primeira ameaça para a plataforma Android a usar um exploit para elevar os privilégios do usuário. Isso também reforça uma das poucas diferenças entre malwares para dispositivos móveis e ameaças para desktops tradicionais. Em computadores Windows geralmente vemos malwares que usam um exploit para se auto-instalar no computador comprometido. De fato, websites com código malicioso que enviam informações para o dispositivo comprometido tem se tornado o vetor mais utilizado. Entretanto, em dispositivos móveis, esse tipo de técnica acontece muito raramente. Na maioria das vezes, o usuário continua sendo enganado a instalar um aplicativo que aparentemente é bom quando na verdade não é.

Isso não quer dizer que não existam vulnerabilidades em sistemas operacionais para dispositivos móveis – atualmente existem algumas poucas – mas sim que os criminosos ainda não acharam necessário usar esse tipo de porta de entrada para um ataque. Em 2010, um website especializado em jailbreak de iPhone demonstrou como essa forma de ataque poderia ser utilizada. O site aproveitou uma vulnerabilidade no tratamento de fontes de documentos PDF para instalar programas impróprios. Desde então os fabricantes de sistemas operacionais para dispositivos móveis atualizaram e melhoraram sua segurança, tornando mais difícil para um malware fazer uso de vulnerabilidades.

Nos últimos dois anos temos visto um maior crescimento de Trojans e adwares que estão focando em dispositivos móveis, principalmente na plataforma Android. Até mesmo ataques direcionados agora fazem uso de ameaças móveis com o propósito de espionar esses dispositivos. Considerando isso, malwares para dispositivos móveis se tornaram ameaças reais que precisam de maior atenção porque ainda estão em uso. De fato estamos nos aproximando do momento que veremos o próximo passo da evolução das ameaças para dispositivos móveis, especialmente agora que os dispositivos se tornaram componentes importantes para identificação e soluções de pagamento.

Zero-Day Vulnerability Discovered in Microsoft Word

      No Comments on Zero-Day Vulnerability Discovered in Microsoft Word

Microsoft posted a security advisory today for a newly discovered, unpatched vulnerability affecting Microsoft Word. An attacker could take advantage of the Microsoft Word Remote Memory Corruption Vulnerability (CVE-2014-1761) to gain remote access to …

Envío de SMSs a Cajeros Automáticos Muestra el Nivel de Sofisticación de los Delincuentes Cibernéticos

      No Comments on Envío de SMSs a Cajeros Automáticos Muestra el Nivel de Sofisticación de los Delincuentes Cibernéticos

daniel_blof_header_image_cropped.png

Actualmente hay una voz, cada vez más insistente, pidiéndole a las empresas y los usuarios de casa que actualicen su Windows XP a una versión más nueva de Windows. Se dice que, si no es por las funciones, que sea al menos para mejorar el soporte y la seguridad de su sistema operativo. En este sentido vale la pena recordar que los cajeros automáticos son prácticamente computadoras que controlan el acceso al dinero en efectivo, y resulta que muchos de ellos funcionan con versiones de Windows XP. Con el inminente fin del soporte para Windows XP programado para el 8 de abril de 2014, la industria bancaria enfrentará el riesgo de sufrir ataques informáticos dirigidos sus cajeros automáticos. Este riesgo no es hipotético y ya se ha hecho presente y se ha identificado que delincuentes informáticos están atacando cajeros automáticos con técnicas cada vez más sofisticadas.

Hacia fines de 2013, publicamos en el blog un artículo sobre un nuevo malware para cajeros automáticos en México, que les permitía a los atacantes forzarlos para que expidieran efectivo utilizando un teclado externo. Esta amenaza recibió el nombre de Backdoor.Ploutus. Semanas después, descubrimos una nueva variante que mostraba que el malware había evolucionado para transformarse en una arquitectura modular. Adicionalmente, la nueva variante también estaba disponible en idioma inglés, lo que indicó que el autor del malware estaba expandiendo su franquicia hacia otros países. La nueva variante se identificó como Backdoor.Ploutus.B (denominado Ploutus para fines de este blog).

Lo interesante de la nueva investigación que hicimos sobre Ploutus es que esta variante les permitía a los ciberdelincuentes enviar un simple mensaje de texto al cajero automático afectado, para luego dirigirse al mismo y recoger el dinero entregado por el aparato. Esto puede parecer increíble pero esta técnica se está empleando en varios lugares del mundo en este momento y en este blog compartiremos cómo funciona esto.   

Ploutus Infograph SPAJ.jpg

Figura 1. Forma en que los atacantes retiran dinero de un cajero automático utilizando un teléfono.

Conectar un teléfono móvil al cajero automático

Los delincuentes informáticos pueden controlar el cajero automático de forma remota utilizando un teléfono móvil que está conectado en el interior del cajero automático. Existen varias formas de conectar un teléfono móvil a un cajero automático. Un método muy común es utilizar una configuración llamada USB tethering (conexión de dispositivos), que es efectivamente una conexión a Internet compartida entre el teléfono y la computadora (o en este caso, el cajero automático).

Los atacantes deben configurar el teléfono correctamente, conectarlo al cajero automático e infectar el cajero con Ploutus. Una vez realizados todos estos pasos, se establece una conexión bidireccional y el teléfono está listo para ser utilizado.   

Dado que el teléfono está conectado al cajero automático a través de un puerto USB, el teléfono consume energía de la conexión, lo que permite cargar la batería, y por lo tanto, el teléfono puede permanecer encendido indefinidamente.    

Envío de mensajes de texto al cajero automático

Tras conectar el teléfono móvil al cajero automático y de completar la configuración, los delincuentes pueden enviar comandos específicos por mensaje de texto al teléfono conectado dentro del cajero automático. Cuando el teléfono detecta un nuevo mensaje en el formato requerido, el dispositivo móvil convierte el mensaje en un paquete de red y lo reenvía al cajero automático a través del cable USB.

El monitor del paquete de red (NPM, por sus siglas en inglés) es un módulo del malware que actúa como un rastreador y vigila todo el tráfico de la red en el cajero. En cuanto el cajero afectado recibe un paquete válido TCP (Protocolo de Control de Transmisión) o UDP (Protocolo de Datagrama de Usuario)  desde el teléfono, el NPM analiza el paquete y busca el número “5449610000583686” en un ajuste específico dentro del paquete para poder procesar todo el paquete de datos. Una vez detectado ese número específico, el NPM lee los siguientes 16 dígitos y los utiliza para crear una línea de comando para ejecutar Ploutus. Este es un ejemplo de dicho comando o instrucción sigue a continuación:         

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

En las versiones anteriores de Ploutus, el delincuente principal debía informarle estos dígitos al encargado o cómplice que recogía el dinero, lo que le daba la oportunidad de estafar al delincuente principal si supiera lo que el código les permite hacer. En esta versión de Ploutus, el cómplice nunca ve los 16 dígitos, lo que le da al delincuente principal la seguridad y la capacidad de tener control total de los retiros de dinero. El código permanece activo durante 24 horas.

El uso de mensajes SMS para controlar cajeros automáticos de forma remota es un método mucho más conveniente para todas las partes involucradas en esta estafa, dado que es discreto y funciona prácticamente de forma instantánea. El delincuente principal sabe exactamente cuánto dinero recogerá su enviado y, a su vez, quien va por el dinero no necesita quedarse merodeando cerca del cajero automático esperando a que salga el efectivo. El delincuente principal y su cómplice pueden actuar de forma sincronizada para que el dinero sea expedido en el momento exacto en que la persona simule retirar dinero o pase caminando frente al cajero automático.   

La suma de los factores del ataque

Ahora que conocemos en detalle cómo funciona esta estafa, este es un resumen del ataque completo:

Ploutus Info2 SPLR.jpg

Figura 2. Resumen del ataque Ploutus a cajeros automáticos

Recapitulación del proceso

  1. El atacante instala Ploutus en el cajero automático y conecta un teléfono móvil a la máquina con un cable USB.
  2. El delincuente envía dos mensajes de texto al teléfono móvil que está conectado al cajero.
    1. SMS 1 debe contener un ID de activación válido para poder activar Ploutus en el cajero.
    2. SMS 2 debe contener un comando válido para activar la entrega del dinero y poder retirar el efectivo.
  3. El teléfono detecta los mensajes de texto válidos recibidos y los reenvía al cajero automático como si fuera un paquete TCP o UDP.
  4. Dentro del cajero, el módulo del monitor del paquete de red recibe el paquete TCP/UDP y, si contiene un comando válido, ejecuta Ploutus.
  5. Un cómplice recoge físicamente el dinero del cajero automático.

Pudimos reproducir este ataque en nuestros laboratorios con un auténtico cajero automático infectado con Ploutus. En este breve video le mostramos cómo funciona este ataque.

Default Chromeless Player

Si bien en esta demostración utilizamos el malware Ploutus, Symantec Security Response ha descubierto otros códigos maliciosos que están atacando a los cajeros automáticos. En el caso de Ploutus, el objetivo de los atacantes es robar dinero desde adentro del cajero, sin embargo, otros códigos que hemos analizado intentan robar el PIN y los datos de la tarjeta del cliente, mientras que algunos intentan concretar ataques de tipo “hombre en medio” (“man in the middle”). Es evidente que los atacantes tienen varias ideas de cómo robar dinero de un cajero automático. 

¿Qué podemos hacer para proteger los cajeros automáticos?

Los cajeros automáticos modernos cuentan con medidas de seguridad avanzadas, como los disco duros encriptados, que pueden evitar estos tipos de técnicas de instalación. Sin embargo, en el caso de los cajeros más antiguos que funcionan con Windows XP, la protección contra estos tipos de ataques es más complicada, en especial cuando los cajeros automáticos ya están en funcionamiento en varias ubicaciones remotas. Otro inconveniente que se debe enfrentar es la seguridad física de la computadora instalada en el cajero. Si bien el dinero en los cajeros está dentro de una caja fuerte, por lo general la computadora no está protegida. Sin un sistema de seguridad física adecuado, el atacante tiene una amplia ventaja sobre los cajeros automáticos, especialmente los más viejos.     

Algunas medidas que recomendamos considerar para complicar la tarea a los delincuentes son:

  • Actualizar el sistema operativo por uno que tenga un soporte adecuado, como Windows 7 u 8.
  • Contar con una protección física adecuada y pensar en la posibilidad de instalar cámaras de seguridad en los cajeros.
  • Asegurar el BIOS (Sistema Básico de Entrada/Salida) para evitar que se inicien medios no autorizados, como los CD-ROM o memorias USB.
  • Realizar un cifrado completo del disco para evitar su manipulación.
  • Utilizar una solución de bloqueo de sistema, como Symantec Data Center Security: Service Advanced (conocida anteriormente como Critical System Protection).

Combinando estas medidas de seguridad, le será muy difícil a los atacantes infectar un cajero automático sin la ayuda de un cómplice infiltrado.

Las soluciones de seguridad para consumidores, endpoint sy protección de servidores seguirán soportando los sistemas Windows XP, sin embargo recomendamos a los usuarios de dicho sistema operativo mirar a uno más actual lo más pronto posible para reducir los riesgos.

Texting ATMs for Cash Shows Cybercriminals’ Increasing Sophistication

      No Comments on Texting ATMs for Cash Shows Cybercriminals’ Increasing Sophistication

daniel_blof_header_image_cropped.png

There is a growing chorus of voices calling for businesses and home users to upgrade existing Windows XP installations to newer versions of Windows, if not for the features, then at least for the improved security and support. ATMs are basically computers that control access to cash, and as it turns out, almost 95 percent of them run on versions of Windows XP. With the looming end-of-life for Windows XP slated for April 8, 2014, the banking industry is facing a serious risk of cyberattacks aimed at their ATM fleet. This risk is not hypothetical — it is already happening. Cybercriminals are targeting ATMs with increasingly sophisticated techniques. 

In late 2013, we blogged about new ATM malware in Mexico, which could let attackers force ATMs to spew cash on demand using an external keyboard. That threat was named Backdoor.Ploutus. Some weeks later, we discovered a new variant which showed that the malware had evolved into a modular architecture. The new variant was also localized into the English language, suggesting that the malware author was expanding their franchise to other countries. The new variant was identified as Backdoor.Ploutus.B (referred to as Ploutus throughout this blog).  

What was interesting about this variant of Ploutus was that it allowed cybercriminals to simply send an SMS to the compromised ATM, then walk up and collect the dispensed cash. It may seem incredible but this technique is being used in a number of places across the world at this time.

In this blog, we will show you how this functionality works.

ATM_blog_infographic_fig1.png
Figure 1. How attackers withdraw cash from an ATM using a phone

Connecting a mobile phone to the ATM
The criminals can remotely control the ATM by using a mobile phone which is connected to the inside of the ATM. There are multiple ways to connect a mobile phone to an ATM. A common method is to use a setup called USB tethering, which is effectively a shared Internet connection between a phone and a computer (or in this case, an ATM). 

The attackers need to set the phone up correctly, connect it to the ATM and infect the ATM with Ploutus. Once all of these steps are complete, a full two-way connectivity is established and the phone is ready to be used. 

Since the phone is connected to the ATM through the USB port, the phone also draws power from the connection, which charges the phone battery. As a result, the phone will remain powered up indefinitely. 

Sending SMS messages to the ATM
After the mobile phone is connected to the ATM and set up is completed, the criminals can send specific SMS command messages to the phone attached inside the ATM. When the phone detects a new message under the required format, the mobile device will convert the message into a network packet and will forward it to the ATM through the USB cable.

The network packet monitor (NPM) is a module of the malware which acts as a packet sniffer, watching all network traffic going on in the ATM. As soon as the compromised ATM receives a valid TCP or UDP packet from the phone, the NPM will parse the packet and search for the number “5449610000583686” at a specific offset within the packet in order to process the whole package of data. Once that specific number is detected, the NPM will read the next 16 digits and use them to construct a command line to run Ploutus. An example of such a command is shown below: 

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

In previous versions of Ploutus, the master criminal would have to share these digits with the money mule, which could allow the money mule to defraud the master criminal if they realize what the code allows them to do. In this version of Ploutus, the mule never sees the 16 digits, giving the master criminal added security and the ability to centrally control cash withdrawals. The code is active for 24 hours.

Using SMS messages to remotely control the ATM is a much more convenient method for all of the parties in this scheme, because it is discrete and works almost instantly. The master criminal knows exactly how much the money mule will be getting and the money mule does not need to linger for extended periods around an ATM waiting for it to issue the cash. The master criminal and money mule can synchronize their actions so that the money is issued just as the money mule pretends to withdraw cash or is walking past the ATM.

Putting it all together
Now that we have looked into the details of how this scheme works, here’s an overview of how it all fits together.

ATM_attack_ploutus_attack_overview_fig2.png
Figure 2. Ploutus ATM attack overview

Process overview

  1. The attacker installs Ploutus on the ATM and connects a mobile phone to the machine with a USB cable.
  2. The controller sends two SMS messages to the mobile phone inside the ATM.
    1. SMS 1 must contain a valid activation ID in order to enable Ploutus in the ATM.
    2. SMS 2 must contain a valid dispense command to get the money out.
  3. The phone detects valid incoming SMS messages and forwards them to the ATM as a TCP or UDP packet.
  4. In the ATM, the network packet monitor module receives the TCP/UDP packet and if it contains a valid command, it will execute Ploutus.
  5. Ploutus causes the ATM to spew out the cash. The amount of cash dispensed is pre-configured inside the malware.
  6. The cash is collected from the ATM by the money mule.

We were able to replicate this attack in our lab with a real ATM infected with Ploutus, so we can show you this attack in action in our short video.

atm_video_overlay_600w_1.png
Figure 3. Video on how Ploutus attacks against ATMs work

While in this demonstration, we are using the Ploutus malware, Symantec Security Response has found several different forms of malware that are targeting ATMs. In the case of Ploutus, the attackers are trying to steal the cash from inside the ATM; however, some malware we have analyzed attempts to steal the customers’ card information and PIN while other malicious software lets criminals attempt man-in–the-middle attacks. Clearly, attackers have different ideas on how best to make money from an ATM.

What can be done to protect ATMs?
Modern ATMs have enhanced security features, such as encrypted hard-drives, which can prevent these types of installation techniques. However, for older ATMs still running on Windows XP, protecting against these types of attacks is more challenging, especially when the ATMs are already deployed in all sorts of remote locations. Another difficulty that needs to be addressed is the physical security of the computer inside the ATMs. While the ATM’s money is locked inside a safe, the computer generally is not. Without adequate physical security for these older ATMs, the attacker has the upper hand.  

A number of measures could be taken to make things more difficult for the criminals. These include:

  • Upgrading to a supported operating system such as Windows 7 or 8
  • Providing adequate physical protection and considering CCTV monitoring for the ATM
  • Locking down the BIOS to prevent booting from unauthorized media, such as CD ROMs or USB sticks
  • Using full disk encryption to help prevent disk tampering
  • Using a system lock down solution such as Symantec Data Center Security: Server Advanced (previously known as Critical System Protection)

With all these measures in place, attackers would find it much harder to compromise an ATM without a complicit insider. 

Symantec’s consumer, endpoint and server protection solutions will continue to support Windows XP systems for the foreseeable future; however, we strongly recommend that Windows XP users should upgrade to a more current operating system as soon as possible.