Category Archives: Security Response News

?????????????????????????

      No Comments on ?????????????????????????

ソーシャルメディアのアカウント、なかでも Twitter アカウントを利用して、Android.Opfake(昨年のブログを参照)などをホストしている悪質なサイトにユーザーを誘導する手口は、特に珍しいものではありません。シマンテックは最近、何も知らない一般ユーザーのアカウントが感染して、こうしたタイプの悪質なリンクをフォロワーにツイートしているケースを確認しました。
 

Compromised Twitter 1-3.png

図 1. 感染したアカウントからの悪質なツイート
 

感染した一連のアカウントが出現するようになったのは 7 月の初め頃で、影響は全世界のユーザーに及んでいます。数週間で広範囲のアカウントが感染しましたが、すでに何百というツイートが送信されているにもかかわらず、多くのユーザーは自分のアカウントが悪質なツイートを送信していることに気づいていません。
 

Compromised Twitter 4 edit.png

図 2. 感染したアカウントから正規のツイートと悪質なツイートが送信される
 

フォローしているアカウントから送信された悪質なリンクを誤ってクリックしてしまったのではないかと心配な場合でも、ロシア語を理解できなければおそらくは安全です。というのも、このツイートはロシア語で書かれており、友人のアカウントでロシア語を見かけても無視すると思われるからです。ただし、ロシア語を理解することができ、ふだんロシア語でツイートするユーザーをフォローしている場合には警戒が必要です。

こういったリンクをクリックすると、マルウェアをホストしているサイトがブラウザで開きます。一般的なブラウザでは、アプリの自動ダウンロードを開始するページが表示されます。
 

Compromised Twitter 5-10.png

図 3. マルウェアをホストしているサイトがブラウザで開く
 

アプリは自動的にダウンロードされますが、インストールはユーザーが手動で実行する必要があります。
 

Compromised Twitter 11 edit.png

図 4. 自動的にダウンロードされたアプリ
 

注目に値するのは、この悪質なツイートから無償版の Asphalt 7 を入手できるように見える点です。しかし、アプリをダウンロードしてインストールする際は、正規のアプリであるかどうかを再確認してください。このアプリは無償版を装っていますが、正規の Asphalt 7 アプリとは異なり、バックグラウンドでプレミアム SMS を送信するからです。この費用は、本物を実際に購入するよりも、よほど高くついてしまいます。
 

Compromised Twitter 12 edit.png

図 5. 偽の Asphalt 7 ダウンロードサイト
 

ユーザーにリンクをクリックさせてマルウェアをデバイスにダウンロードさせようと、ユーザーの気を引くような画像が添付されたツイートもあります。悪用されるのは感染したアカウントとは限らず、詐欺師によって用意されたアカウントの場合もあります。この手の詐欺には十分に注意してください。
 

Compromised Twitter 13 edit.png

図 6. 興味を引く画像が添付された詐欺
 

シマンテックは、感染してしまったユーザーのサポートに関して Twitter 社と協力しています。アカウントが感染しているかどうかを確認するには、身に覚えのないツイートがないかどうか、フォローした覚えのないアカウントをフォローしていないかどうかを調べます。アカウントを感染から保護するために、強力なパスワードを使用し、フィッシング詐欺に注意してください。また、アカウント情報を盗み出すマルウェアにコンピュータやデバイスが感染しないように、オペレーティングシステムやインストールされているすべてのソフトウェアに最新のパッチを適用したり、最新のセキュリティソフトウェアを使用したりするなど、基本的なセキュリティ対策(ベストプラクティス)に従ってください。悪質なサイトにアクセスしてしまわないように、たとえ知人のツイートでも、ふだんとは違うメッセージは無視するようにしてください。ノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをインストールすることもお勧めします。シマンテックは、このブログで説明したマルウェアを Android.Opfake として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Compromised Accounts Tweeting Links to Malware

It is not uncommon to see social media accounts, specifically Twitter accounts, directing users to malicious sites such as the ones hosting Android.Opfake, an issue we blogged about last year. Recently, we discovered that the accounts of innocent users…

????????????????

      No Comments on ????????????????

怪訝に思われるかもしれませんが、株関連のスパムの増加は、経済回復の確かな兆しの 1 つです。こういったスパムは、経済が回復してくると真っ先に表れるものです。その証拠に、最近届いたメールを確認してみてください。迷惑メールフォルダには、「一世一代のチャンス」を謳うこの種のスパムがいくつも届いていることでしょう。経済回復の兆候が見られるたびに、大切なお金を騙し取ろうとする悪質なスパムが必ず現れます。

株関連のスパムは何年にもわたって進化してきました。ある組織によって株価が急騰すると謳って特定の株を買わせようと心理的に誘導する手法はますます巧妙になっています。株関連のスパムは不当に切迫感を煽り、最後には必ず儲かると約束します。

株関連のスパムは「パンプアンドダンプ」と呼ばれる戦略を用いています。スパマーは擬似的に投機熱を作り出し、一晩で大儲けできると誘ってペニーストック(安値の小型株)への投資を誘います。多くの人間が持っている金銭欲につけ込むのです。

このようなスパムメールが何百万通もばらまかれると、当該株の株価は急騰し、その後大幅に下落します。そして後には多くの投資家たちが取り残されます。投機熱が上がると、今度は一転して当該株は売られ、低株価に戻ります。つまり、株価の操縦者は、高値で買わされた投資家よりも多くの利益を得ることになります。

スパムの観点から言えば、誇大な宣伝をして、荒稼ぎしたら姿を消すという手口は変わっていません。社会政治的な状況も踏まえて体系的に行われます。

メールの件名は、スパムフィルタをすり抜けるために若干の変更を加えつつ使い回されます。株関連のスパムに使われる件名の例を以下に示します。

  • I would love this stock to fill in gap…(この株で穴埋めができる…)
  • A Sleeping Giant May Have Been Awoken!(眠れる巨人が目を覚ましたかも!)
  • IT MAKES A MOVE!(動きあり!)
  • NEW Pick Out at Midnight!(真夜中の新規有望株!)
  • This Stock is my new NASDAQ alert! This thing can fly!(NASDAQの新規注目株! これは買い!)
  • Decoded: Don’t Risk Missing an Issue(解説: 損するリスクはありません)
  • We`re going to see some xtreme moves this week(今週大きな動きあり)
  • A bottom buster rocket this morning(今朝の株価急騰)
  • The Only Way To Make Reliable Monthly Income From The Stock Market!(株式で確実に儲ける唯一の方法)
  • This Company is our New “First-Class” Alert! Don`t Miss Out!(この会社は新たな大注目株! お見逃しなく!)

メールの本文には、対象株に関する概要と銘柄コードが含まれています。銘柄コードは、通常、不明瞭化されています。

StockSpamFigure.png

図. 株関連のスパムメールサンプル

では、このようなスパムにどのように対処すればよいでしょうか?

この種のスパムメールが受信ボックスに届いても、決してだまされないように注意してください。うますぎる話には必ず裏があることを忘れないでください。

スパム対策のシグネチャは定期的に更新することをお勧めします。シマンテックではこのようなスパム活動を厳重に監視しており、この傾向の監視を続けて読者の皆様に最新の情報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Stock Spam: A Sign of Economic Recovery?

It may sound strange, but one surefire sign that the economy is on the mend is an increase in stock spam. Yes, stock spam is a bellwether signal of an economic revival and if you want proof, check your email. Scattered in your bulk folder, you may find a myriad of such spam promising you ‘an opportunity of a life time.’ Rearing its ugly head every time there is a hint of an economic recovery, stock spam never misses an opportunity to try and con victims out of their hard-earned cash.

Over the years, stock spam has evolved, honing its method of psychologically hustling a victim into buying a particular stock that will ‘imminently’ be pumped up by some sort of syndicate. Stock spam creates an unwarranted urgency and promises a pot of gold at the end of it all.

Stock spam relies on a strategy called ‘pump and dump,’ where spammers create pseudo hysteria, beckoning victims to invest in penny or sub-penny stocks that would give astronomical returns overnight. It takes full advantage of a widespread human trait, greed.

After millions of these spam emails are dispersed, the stock in focus suddenly increases in value and then falls drastically, leaving investors stranded. Stocks are then dumped after creating hysteria and subsequently bought back at a lower price, which means more profit for the manipulators rather than those invested who are trapped at higher levels.

From a spam perspective, the modus operandi has been constant – create hype, make a profit, then disappear into oblivion! This is done systematically, keeping the sociopolitical situation in mind.

The subject lines used are altered and recycled with a few cosmetic alterations in order to evade spam filters. The following are some sample subject lines used in stock spam:

  • I would love this stock to fill in gap…
  • A Sleeping Giant May Have Been Awoken!
  • IT MAKES A MOVE!
  • NEW Pick Out at Midnight!
  • This Stock is my new NASDAQ alert! This thing can fly!
  • Decoded: Don’t Risk Missing an Issue
  • We`re going to see some xtreme moves this week
  • A bottom buster rocket this morning
  • The Only Way To Make Reliable Monthly Income From The Stock Market!
  • This Company is our New “First-Class” Alert! Don`t Miss Out!

The email body contains some brief information on the targeted stock and its trading ticker ID (which is usually obfuscated).

StockSpamFigure.png

Figure. Sample stock spam email

So, what’s the best practice here?

The next time you see unsolicited emails cluttering your mailboxes, make sure that you don’t fall for this type of scam. Remember, if something sounds too good to be true, it usually is!

Symantec advises users to update their antispam signatures regularly. We are closely monitoring these spam campaigns and will continue monitoring this trend to keep our readers updated.

 

To the pilot who knows no storm! Thanks Samir.

Tor ??????????

      No Comments on Tor ??????????

8 月 4 日、Freedom Hosting(Tor ネットワークを介して匿名ホスティングサービスを提供するサービスプロバイダ)が運用する Web サイトで、不正なスクリプトのホスティングが見つかりました。これは、Freedom Hosting の代表と見られる人物の引き渡しを米国当局が要請したことに関する、8 月 3 日のメディアレポートに続くものです。

見つかったスクリプトは、Firefox の脆弱性を悪用します(この脆弱性はすでに Firefox 22 と Firefox ESR 17.0.7 で修正済みです)。この脆弱性が選ばれた理由は、Tor Browser Bundle(TBB)が Firefox ESR-17 をベースにしているためと思われます。シマンテックでは、これらのスクリプトを Trojan.Malscript!html として検出しています。

Figure1_7.png

図: 攻撃のプロセス

攻撃者は侵入に成功すると、当該コンピュータからネットワークカードの固有 MAC アドレスとローカルホスト名を取得し、そのデータを IP 65.222.202.54 に返送します。返送されるデータの例を以下に示します。Host はローカルコンピュータ名を表し、Cookie ID は実際には MAC アドレスを表しています。

GET /05cea4de-951d-4037-bf8f-f69055b279bb HTTP/1.1
Host: PXE306141
Cookie: ID=0019B909D908
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip

また、Web サイトを訪れた後に、システム上に独特な Cookie も残されます。攻撃者は固有 MAC アドレス、ローカルコンピュータ名と Cookie を使って、攻撃対象のシステムを特定します。これらの手法が法執行によって使われたならば、ネットワークカードの購入者を追跡してシステムを特定することが可能でしょう。誰がこれを行っているのかとその理由については様々な憶測が飛び交っていますが、現時点ではまだ何も確認されていません。

Tor ネットワークは個人のプライバシーを尊重し、ユーザーの場所や利用状況をトラフィック分析やネットワーク監視から隠すように設計されていますが、この攻撃手法によって、Tor ネットワークの利用者を特定できることが明らかになりました。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Tor Anonymity Comes Under Attack

      No Comments on Tor Anonymity Comes Under Attack

On August 4, websites hosted by Freedom Hosting, a service provider that offers anonymous hosting through the Tor network, began to host malicious scripts. This follows media reports from August 3 about US authorities seeking the extradition of the man…

Tor Anonymity Comes Under Attack

      No Comments on Tor Anonymity Comes Under Attack

On August 4, websites hosted by Freedom Hosting, a service provider that offers anonymous hosting through the Tor network, began to host malicious scripts. This follows media reports from August 3 about US authorities seeking the extradition of the man…

???????????? Android ??????????

      No Comments on ???????????? Android ??????????

poker_player_concept.png

7 月下旬、千葉県警は Android.Enesoluty をダウンロードするリンクが記載された電子メールを含むスパムを配信したとして 9 人を逮捕しました。Android.Enesoluty は、所有者のデバイスに保存されている連絡先情報を収集するマルウェアです。逮捕された 9 人の中には、東京都渋谷区の IT 関連企業コーエイプランニング社長、香川雅昭容疑者(50)も含まれていました。香川容疑者は、熱心なポーカープレイヤーとしても有名で、世界中のポーカー大会に参加しては、これまでの大会で累計 1 億円以上を稼ぎ出してきました。スパム活動では主犯格であったと見られています。イチかバチかに賭けるその情熱が、ポーカーの世界では膨大な稼ぎをもたらしましたが、Android マルウェアをめぐる賭けでは運に見放されたようです。香川容疑者とその関係者は間もなく起訴されると見られています。

シマンテックの調べによると、このスパム活動は 2012 年 9 月頃に始まっており、捜査当局の家宅捜査があった 2013 年 4 月に停止しました。シマンテックは、この期間に悪質なアプリのホスト先として約 150 のドメインが登録されていたことを確認しています。報道によれば、このグループは 810,000 台前後の Android デバイスからおよそ 3,700 万件もの電子メールアドレスを集めていました。また、スパム活動の最後の 5 カ月間には、「サクラ」サイトと呼ばれる偽のオンライン出会い系サービスを運営して、3 億 9,000 万円以上の稼ぎを上げています。被害者をこの出会い系サイトに誘導したスパムの送信先は、マルウェアによって収集されたアドレスでした。

シマンテックは 2012 年 7 月以来、Enesoluty 詐欺を綿密に追跡してきました。その詳しい経緯は、以下のブログでお伝えしています。

シマンテックは、Android.MaistealerAndroid.Enesoluty も、Android.Uracto という別のマルウェアと共通のソースコードを使っていると考えていますが、マルウェアを拡散する手口が大きく異なることから、Uracto は別の詐欺グループが管理しているものと思われます。この別グループはまだ特定に至っていないため、こちらのグループをめぐっては今後もしばらく紆余曲折がありそうです。Android.Uracto によって実行される詐欺の詳しい情報は、以下の 2 回のブログでお伝えしています。

最後になりましたが、今回の逮捕について千葉県警に称賛の意を表したいと思います。シマンテックは、この逮捕に至るまで捜査当局に協力しており、今後も犯罪者の摘発や告訴については協力を続けていきます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

URL ? .pw ???????????????????????????

      No Comments on URL ? .pw ???????????????????????????

URL に .pw を含むスパムメッセージの増加については、これまでにも何度か(4 月の記事5 月の記事)このブログでご報告しました。

その後、URL に .pw を含むスパムの量は大幅に減少しています。.pw ドメインのスパムは 5 月初めがピークで、全スパム URL のほぼ 50% を占めていましたが、最近の 7 日間では 2% 足らずです。

Figure1_6.png

図 1. トップレベルドメイン(TLD)に .pw を含むスパムメッセージの変化

.pw ドメインを使ったスパムが減少したのは、シマンテックと Directi 社が連携して、スパムに関係する .pw ドメインの報告と停止を続けた結果です。

Symantec Global Intelligence Network の最近のデータによれば、.pw ドメイン(元々はパラオを表す国別トップレベルドメインでした)の比率がこれほど小さくなっても、.pw を使うスパマーは諦めずに新たな手口を使い始めています。世界中の最新ニュースに目を光らせ、最新ニュースの見出しをドメイン名に変換しているのです。

そうした例のひとつが babykingishere.pw というドメイン名で、これはパナマの登録者が 7 月 24 日に登録したものです。スパマーが選んだこの名前は、英国から届いたお世継ぎ誕生という大きなニュースに由来しています。全世界がご生誕を祝うなか、スパマーがそのニュースを利用しようとしたのは明らかです。

これまでのところ、このスパムドメインは一撃離脱タイプのスパム攻撃で確認されています。このタイプのスパムに見られる大きな特徴は「使い捨て」ドメインを使っていることで、babykingishere.pw ドメインがまさにそれです。

babykingishere.pw ドメインを使う一撃離脱スパムで確認された差出人のサンプルを以下に示します。

  • 差出人: “Cable Internet”(ケーブルインターネット)<CableInternet@babykingishere.pw>
  • 差出人: “Medical Billing and Coding Education”(医療費請求とコーディング教育)<MedicalBillingandCodingEducation@babykingishere.pw>

Figure2_3.png

図 2. babykingishere.pw ドメインを含むリンクの記載されたスパムメッセージの例

どちらのサンプルも現在、シマンテックの IP 評価とコンテンツフィルタリングによって遮断されています。シマンテックは、.pw ドメインと「ロイヤルベビー」スパムを引き続き監視する予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。