Category Archives: Security Response News

Use of Legit Online Translation Services in Pharmacy Spam

For the last few months, Symantec has been observing pharmacy related spam attacks where spammers are using the legitimate Google Translate service to avoid anti spam filters. 

Most of the samples received were sent from hijacked email addresses from popular free mail services. 
The majority of the messages’ subject lines were promoting either online pharmacies or well-known  tablets such as Viagra, Cialis and others. Furthermore, in an effort to make the spam immune to filters, several observed subject lines contained randomized non-English characters or words inserted at the beginning or end of the subject line. 

Figure1_4.png

Figure 1. Sample subject lines

The body of the spam message contains a Google Translate link as well as promotional text explaining the advantages of ordering medicines from online websites, there’s even a discount code included for the reader.

Figure2_2.png

Figure 2. Sample spam message

The mechanism of the redirection is quite complex. After clicking the link, Google Translate is meant to get a second address embedded in the link, which then redirects to a pharmacy website.

In our sample the final destination was the following pharmacy site:

  • [http://]www.magic-pharm.com

It is worth noting that previously spammers mostly used freewebs or URL shortening services in the second part of the link (redirection link), but recently they’ve taken advantage of country IDN top-level domains, especially Cyrillic .рф domains. In redirection links, Cyrillic domains are represented in Punycode. 

The following is an example of a link as it presented in a spam mail:

  • [http://]www.google.com/t%72ans%6C%61%74e_p?hl=%65%6E&u=pnfd.fr.%78n–8%%330%61%66%61f0asd%62%63g.%78n-p1a%69/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI+.aspx

Output from win-1251 decoding:

  • [http://]translate.google.com/translate?hl=en&u=http://pnfd.fr.xn--80afaf0asdbcg.xn--p1ai/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI%2520.aspx

With Punycode decoding:

  • [http://]translate.google.com/translate?hl=en&u=[http://]pnfd.fr.конггандон.рф/ipf24aeAGzLC8vs0zJMzA3NDQ0NzAEACbKBDs .aspx

Symantec is successfully blocking the majority of variations of Google Translate redirection spam and is closely monitoring for any other inappropriate use of Google Translate services in spam email. This exploit is used in spam campaigns and has not, as yet, been observed being used in the distribution of malware.

Use of Legit Online Translation Services in Pharmacy Spam

For the last few months, Symantec has been observing pharmacy related spam attacks where spammers are using the legitimate Google Translate service to avoid anti spam filters. 

Most of the samples received were sent from hijacked email addresses from popular free mail services. 
The majority of the messages’ subject lines were promoting either online pharmacies or well-known  tablets such as Viagra, Cialis and others. Furthermore, in an effort to make the spam immune to filters, several observed subject lines contained randomized non-English characters or words inserted at the beginning or end of the subject line. 

Figure1_4.png

Figure 1. Sample subject lines

The body of the spam message contains a Google Translate link as well as promotional text explaining the advantages of ordering medicines from online websites, there’s even a discount code included for the reader.

Figure2_2.png

Figure 2. Sample spam message

The mechanism of the redirection is quite complex. After clicking the link, Google Translate is meant to get a second address embedded in the link, which then redirects to a pharmacy website.

In our sample the final destination was the following pharmacy site:

  • [http://]www.magic-pharm.com

It is worth noting that previously spammers mostly used freewebs or URL shortening services in the second part of the link (redirection link), but recently they’ve taken advantage of country IDN top-level domains, especially Cyrillic .рф domains. In redirection links, Cyrillic domains are represented in Punycode. 

The following is an example of a link as it presented in a spam mail:

  • [http://]www.google.com/t%72ans%6C%61%74e_p?hl=%65%6E&u=pnfd.fr.%78n–8%%330%61%66%61f0asd%62%63g.%78n-p1a%69/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI+.aspx

Output from win-1251 decoding:

  • [http://]translate.google.com/translate?hl=en&u=http://pnfd.fr.xn--80afaf0asdbcg.xn--p1ai/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI%2520.aspx

With Punycode decoding:

  • [http://]translate.google.com/translate?hl=en&u=[http://]pnfd.fr.конггандон.рф/ipf24aeAGzLC8vs0zJMzA3NDQ0NzAEACbKBDs .aspx

Symantec is successfully blocking the majority of variations of Google Translate redirection spam and is closely monitoring for any other inappropriate use of Google Translate services in spam email. This exploit is used in spam campaigns and has not, as yet, been observed being used in the distribution of malware.

First Widespread Virus Cross-infection

After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …

First Widespread Virus Cross-infection

After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …

Hijacking SIM Cards through Over-the-Air Updates

We all know that mobile phones have been the focus of cybercriminals for a while now. But Trojanized mobile applications are only one attack scenario. Some problems lie even deeper in your phone. Karsten Nohl, a German researcher who has done a lot of …

BET ? VIP ????????????????? Twitter ???

先日、私の好きなバンドが、Twitter でコンサートの無料チケットに当選しました。これは、他の Twitter ユーザーから受け取ったメッセージについてのツイートでした。

BET VIP 1 edit.png

図 1. コンサートの無料チケットについて皮肉るツイート
 

これはセキュリティ上の観点から言えば定番の詐欺のようであり、シマンテックセキュリティレスポンスでさらに調べたところ、その疑惑が裏付けられました。
 

BET VIP 2 edit.png

図 2. スパムアカウントが特定のツイートに返信
 

ソーシャルネットワーク上で謳われる無料提供と、それが無料ではない実態については、1 年以上前にブログでお伝えしました。こうした偽のアカウントは、特定のキーワードをツイートしたユーザーに対して、デバイスやギフトカードを無料で進呈すると称していました。今回のケースでは、このバンドがアルバムオブザイヤー(AOTY)の選定についてツイートし、その中でカニエ・ウェストの名前を出しました。この「カニエ・ウェスト」という名前が、ランダムな偽アカウントによって監視されているキーワードとして使われていたために、無料チケット進呈というツイートが返信されたのです。Twitter でアーチストの名前(カニエ・ウェスト、J コール、ジェイ・Z、ビヨンセなど)をツイートすると、こうした詐欺ツイートを受け取る可能性があります。

106 & Park は、BET(ブラックエンターテインメントテレビジョン)で平日に放送されているミュージックビデオのカウントダウン番組です。この番組は公式の Twitter アカウントを持っており、フォロワー数は 500 万人以上、ツイート数は 13,000 を超えています。偽の Twitter アカウントは、公式のロゴと背景画像を使って正規アカウントに偽装していますが、通常、こうした偽 Twitter アカウントにはフォロワーがおらず、ツイート数もわずかなため、詐欺であることは一目瞭然です。
 

BET VIP 3 edit.png

図 3. 106 & Park の公式 Twitter アカウント
 

BET VIP 4 edit.png

図 4. 106 & Park の偽 Twitter アカウント
 

これまでとは違って注意が必要なのは、今回の詐欺アカウントが返信の中に直接はリンクを指定していないことです。代わりに、プロフィールページにアクセスして、プロフィール中のリンクをクリックするよう求めています。

このリンクをクリックすると、BET ブランドについて詳しく書かれたページにリダイレクトされ、最近の有名アーチストの画像が表示されます。
 

BET VIP 5 edit.png

図 5. 無料チケット詐欺のランディングページ
 

[CLAIM MY VIP TICKETS(VIP チケットを受け取る)]ボタンをクリックすると、ユーザーの個人情報を要求するページにリダイレクトされます。ところが、この情報を詐欺師が受け取っている様子はなく、どちらかというと、この無料チケットプレゼントを正規のものらしく見せる体裁だけが目的のようです。
 

BET VIP 6 edit.png

図 6. VIP 向けプレゼントページで個人情報が要求される
 

同じページにモバイルデバイスからアクセスした場合には、いくつかのアプリの中から 1 つをインストールするように指示されます。これは、この手の詐欺でアフィリエイトプログラムを通じて金銭を稼ごうとする手法のひとつで、詐欺師は、最近になってこうしたモバイル向けアフィリエイトプログラムを使い始めています。ごく最近では、Twitter の動画共有サービスである Vine のユーザーが狙われた例もあります。
 

BET VIP 7 edit.png

図 7. アプリのインストールを求めるモバイル向けアフィリエイトプログラム
 

BET VIP 8 edit.png

図 8. ワンダイレクションとジャスティン・ビーバーのコンサートの無料チケット進呈を謳う偽ページ
 

類似の詐欺ツイート

この数カ月間に、ワンダイレクションやジャスティン・ビーバー、リアーナなどの人気スターや、そのコンサートツアーについてツイートしたファンたちも、同様の詐欺ツイートを受け取っています。これらのケースでは、詐欺のランディングページでアンケートの記入を求められます。これも詐欺師が詐欺行為で収益を上げるための常套手段です。
 

BET VIP 9 edit.png

図 9. リアーナの「ダイアモンド・ツアー」の無料チケット進呈を謳う偽ページ
 

現時点で、このようなタイプの詐欺を拡散している偽の Twitter アカウントは数百あります。最も顕著なのがコンサートチケット詐欺ですが、以下のように、他の餌を使って、これとまったく同様の詐欺も確認されています。

  • スポーツジムやワークアウトについてツイートしたユーザーを狙った、無料の運動器具の提供
  • 暇を持て余していることをツイートしたユーザーを狙った、5,000 ドル宝くじへの参加
  • 仕事や求人についてツイートしたユーザーを狙った、専用の求人データベースへのアクセス

Twitter を使っていて、このように賞品が当選したと称するツイートを受け取った場合は、まず怪しいと疑うべきです。リンクはクリックしないように注意し、Twitter 社に偽アカウントを報告してください。

デジタル時代のファンである以上、コンサートの無料チケットを餌にされた場合には、特に疑ってかかる必要があります。ブランドやアーチストのソーシャルメディア公式アカウントを調べても疑惑が解消されないとしたら、それは詐欺と思って間違いありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Google Glass?QR ???????????? Wi-Fi ??????????????

QR(クイックレスポンス)コードの悪用そのものは、目新しい発想ではありません。昨年、QR コードに埋め込まれた悪質な USSD コードによって、Android スマートフォンの人気機種でデータが消去される恐れがあると判明したケースを覚えている方もいらっしゃるでしょう。QR コードは何年も前から使われていますが、モバイル端末で読み取った場合、そのデータがどうなるのかユーザーにはまったくわかりません。

シマンテックは、QR コードによる悪質なサイトへの自動リダイレクトを防ぐために、ノートン スナップというアプリケーションを作成しました。リンク先アドレスにリダイレクトされる前に、その URL がスキャンされます。すでに、ユーザーから毎日数千件の URL ルックアップ要求が届いています。先月は、総数のうち悪質な URL が占める比率は 0.03% にすぎなかったため、まだ大きなリスクとは見なされていません。しかし、スナック自動販売機の QR コードが乗っ取られ、スナックの料金が別の場所に支払われてしまうというケースがすでに発生しています。

 

1 - Google Glass QR codes.png

図. Google Glass と QR コード
 

見てはいけない

Google Glass は現在特に注目を集めているテクノロジのひとつであり、シマンテックの研究室でも調査目的で多くの Google Glass 端末を手に入れました。Google Glass と QR コードの関係について言えば、QR コードを使って設定は簡単になります。何といっても目を使ってテキストを入力するというのはかなり難しいでしょう。セキュリティ企業の Lookout 社が、悪質な QR コードを使って Google Glass を操作できる方法を分析しました。ウェアラブルデバイスは、ユーザーとのインターフェースがこれまでと異なるという性質上、新しい攻撃経路になる可能性があります。Lookout 社によると、QR コードを撮影すると、Google Glass は悪質な恐れのある Wi-Fi アクセスポイントに知らないうちに接続する可能性があります。こうなると、フォトボム(photo-bombing。撮影者の意図に反した被写体が映り込むことを指す俗語)という言葉がまったく新しい意味を持ってきます。Google Glass は一般的な QR コードをすべてサポートしているわけではなく、デバイスの優先 Wi-Fi アクセスポイントの再設定に利用しています。

Google Glass が悪質なアクセスポイントに接続すると、攻撃者はトラフィックをすべて盗聴し、場合によってはユーザーを悪質な Web サイトにリダイレクトします。幸い、Google 社もこの問題を認識しており、すでに修正済みなので、Google Glass で写真を撮るとき、いちいち QR コードを避ける必要はなくなりました。

 

デバイスを制御する方法は QR コードに限らない……

Google Glass が QR コードによってフォトボムを受ける可能性には注意が必要ですが、モバイルデバイスを悪質な Wi-Fi アクセスポイントに接続させるには、もっと簡単な方法もあります。今では、ほとんどの人がスマートフォンの Wi-Fi 機能を常時オンにしています (Google Glass もです)。つまり、デバイスは接続できる既知のアクセスポイントがないかどうか、周囲の環境を常に調べているわけです。新たに登場したウェアラブルデバイスもインターネット接続を簡単にするために同じように動作すると予測されますが、デバイスが検索するネットワークを簡単な方法で偽装できるソフトウェアも出回っています。WiFi Pineapple という小型デバイスを買えば、必要な操作をすべて自動的に実行してくれます。たとえば、自分のスマートフォンが「myPrivateWiFi」という SSID 名の自宅の Wi-fi ネットワークに常に接続する設定になっているとします。このスマートフォンを持っていった近所のコーヒーショップに、攻撃者が悪質な WiFi Pineapple を取り付けていれば、攻撃者が仕掛けた WiFi Pineapple はスマートフォンが myPrivateWiFi を検索したときに、単にプローブ要求に応えるだけで myPrivateWiFi ネットワークになりすますことができ、その時点から、セッション乗っ取りや盗聴といった典型的な中間者(MITM)攻撃が実行可能になります。この種の攻撃は QR コードを認識しないデバイスでも実行できます。したがって、Google 社が QR フォトボムに対するパッチを公開しても、Wi-Fi 乗っ取りに対する Google Glass の脆弱性は依然として残ることになります。

残念ながら、Google Glass の Wi-Fi 乗っ取りは、すぐに解決できるほど小さな問題ではありません。Wi-Fi ホットスポットを使うたびにデバイスをペアリングするという手間をかけず、すぐに使えるスムーズなユーザーエクスペリエンスが望まれているからです。よく使うアクセスポイントの MAC アドレスと SSID の併用が有効な場合もありますが、ローミングが関係してくると実用的ではなくなりますし、MAC アドレスも WiFi Pineapple で簡単に詐称できてしまいます。

それより現実的な Wi-Fi 乗っ取りの解決策は、ネットワークはどこでも危険なものという前提に立って、すべてのアプリケーションで SSL などの暗号化通信、または VPN 経由のトンネルを使うことです。こうすれば、現在地についても、接続先についても気にする必要はなくなり、安心して日光浴を楽しむことができます。

 

* QR コードは (株)デンソーウェーブの登録商標です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????

      No Comments on ???????????????????

ランサムウェアはマルウェアの一種ですが、最近、シマンテックのノートンの公式ロゴを使って、あたかもシマンテックの認定を受けているかのように思い込ませるランサムウェアが出現したと報道されています。これは、マルウェアの作成者がユーザーを欺こうとしてソーシャルエンジニアリングでよく使う手口で、セキュリティ企業のロゴがランサムウェアに悪用されるのも初めてのことではありません。

シマンテックは、このランサムウェアを Trojan.Ransomlock.Q として検出し、IPS 保護定義「System Infected: Trojan.Ransomlock.Q」でもそのネットワーク活動が検出されます。

 

image1_6.png

図 1. ドイツ語ユーザーに表示される Trojan.Ransomlock.Q(ノートンのロゴに注目。画像提供: Heise Online
 

今までと同様、万一ランサムウェアに感染してしまった場合でも、けっして身代金は支払わないでください。かわりに、シマンテックが提供している駆除手順に従うか、削除手順を示したこちらのビデオ(英語)を参照してください。

ランサムウェアの機能と手口は、ここ数年ほとんど変化していません。亜種ごとに新しいデザインは無数に登場していますが、デザイン上の習慣は一定しており、通例は公式の機関や正規のセキュリティ企業に偽装して信憑性を獲得しようとしています。

Trojan.Ransomlock.Q(別名 Urausy)の場合、作成者はこれまでどおり非常に活動的で、標的とする国に応じた政治情勢の変化に合わせて頻繁にデザインを更新します。きわめて巧妙で、最新のニュースにもいち早く対応しています。理由は不明ですが、アイルランド語のバージョンではノートンのロゴが使われていません。

Irish_ransomware_norton.png

図 2. アイルランド語ユーザーに表示される Trojan.Ransomlock.Q
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Google Glass Still Vulnerable To WiFi Hijacking Despite QR Photobombing Patch

Malicious quick response (QR) codes are not a new idea. Some readers might remember last year when it was found that a popular Android smartphone could be wiped by a malicious USSD code embedded within a QR code. QR codes have been in use for many years now but when scanning them with a mobile phone the user can never tell where they will end up.

To protect against automated redirection to malicious sites with QR codes, Symantec created the Norton Snap application which scans any URL before the user is redirected to the destination address. Currently we get a few thousand URL lookup requests each day from our users. During the last month only 0.03 percent of those URLs were malicious. Hence it’s not yet considered a huge risk, but we have already seen cases where QR codes for snack vending machines where replaced, so that the paid for snacks gets released at a different location.
 

1 - Google Glass QR codes.png

Figure. Google Glass and QR codes
 

Don’t look now

Google Glass is one of the hottest pieces of technologies out that at the moment and we’ve got our hands on a number of them for research purposes in our labs. As far as the relationship between Glass and QR code goes, it provides an easy way of using QR codes to configure them; after all it would be quite difficult to enter text using your eyes. Our colleagues at Lookout analyzed how Google Glass can be manipulated using malicious QR codes. Wearable devices by their nature can open up new attack vectors because the user interacts with them differently. Lookout have stated when taking a photo of a QR code, Glass will silently connect to a potentially malicious WiFi access point. This gives the word photo-bombing a whole new meaning. Glass doesn’t support all general QR codes, but uses them for reconfiguring of the device’s preferred WiFi access point.

Once the Google Glass connects to the access point of the attacker, the attacker can sniff all the traffic or even redirects the user to a malicious website. Fortunately, Google is aware of this issue and have already fixed it so you don’t have to keep looking away from QR codes whilst taking pictures with the device.
 

QR code is not the only way to PWN a device…

So, while Glass’ ability to get QR photo-bombed was interesting, there are far easier ways to get a mobile device connected to a rogue WiFi access point. Many people leave WiFi enabled the whole time on their smartphones. This means the device constantly probes the surroundings to see if there is a known access point that it can connect to. Similar behavior is expected in new wearable devices to make it easier for them to interact with. There is software available that will impersonate any network that a device searches for and this software is quite easy to use. You can even buy a small device called WiFi Pineapple that will do all the work for you. For example if your smartphone remembers your home network with the SSID name “myPrivateWiFi”. The attacker will simply answer the probe request and pretend to be the network “myPrivateWiFi”. From that point on classic man-in-the-middle (MITM) attacks, like session hijacking or sniffing, can be performed. Hence it is easier to get a wearable device like Google Glass or a smartphone to connect to a rogue access point this way as no accidental recognition of a QR code is necessary. Further, even with Google’s patch for QR photo-bombing, Glass remains vulnerable to WiFi hijacking.

Unfortunately, this latter issue is not trivial to solve. Users want to have a smooth user experience that just works without the hassle of pairing the devices each time they use a WiFi hotspot. Remembering the MAC addresses of the access points together with the SSID could help in some instances, but that is not feasible in the context of roaming and MAC addresses can easily be spoofed as well.

The more practicable solution is to treat every network as hostile and ensure that all the applications use encrypted communications like SSL or tunnel through a VPN. That way you don’t have to worry about where you are or what you are looking at, but instead you can relax and enjoy the sunshine.

BET VIP Concert Ticket Scam Spreading on Twitter

This weekend one of my favorite bands won free concert tickets on Twitter. They tweeted about the message they received from another Twitter user.
 

BET VIP 1 edit.png

Figure 1. Sarcastic tweet about free concert tickets
 

This type of scam looked familiar from a security standpoint. Upon further investigation, we at Symantec Security Response confirmed these suspicions.
 

BET VIP 2 edit.png

Figure 2. Spam account replies to specific tweet
 

I wrote a blog about free stuff on social networks and how it was not free about a year ago. These fake accounts were offering free devices and free gift cards to users tweeting specific keywords. In this case, the band wrote about their albums of the year (AOTY) picks, which mentioned Kanye West in the tweet. His name was used as a keyword that a random fake account was monitoring, which led to a reply offering free concert tickets. If a Twitter user tweets the name of an artist (e.g., Kanye, J. Cole, Jay-Z, Beyoncé), they are likely to receive one of these tweets.

106 & Park is a music video countdown show that airs weekdays on BET (Black Entertainment Television). The show has an official Twitter account that has over 5 million followers and over 13,000 tweets. The fake Twitter accounts are using the official logo and background image to try to convince users that they are legitimate. However, these fake Twitter accounts typically have no followers and only a couple of tweets, making it obvious that this is a scam.
 

BET VIP 3 edit.png

Figure 3. Official 106 & Park Twitter account
 

BET VIP 4 edit.png

Figure 4. Fake 106 & Park Twitter account
 

One thing to note here is that unlike before, these scam accounts are not providing a direct link to users in their reply. Instead, they are asking users to visit their profile page in order to click on a link in their profile bio.

Users that click on this link will be directed to a page that contains more BET branding, featuring images of some of today’s most well-known artists.
 

BET VIP 5 edit.png

Figure 5. Free ticket scam landing page
 

Clicking on the “CLAIM MY VIP TICKETS” button on a computer leads users to a page that requests personal information from the user. However, it does not appear that this information is captured by the scammers. Rather, this is for cosmetic purposes, to make it appear as though this free ticket offer is legitimate.
 

BET VIP 6 edit.png

Figure 6. V.I.P. Giveaway page requests personal information
 

If users visit the same page from a mobile phone, they are asked to install one out of a choice of several applications instead. This is one way to make money from a scam like this, through affiliate programs, and scammers have just recently started using these mobile affiliate programs. One of the most recent examples targeted users of Twitter’s video sharing service, Vine.
 

BET VIP 7 edit.png

Figure 7. Mobile affiliate program for app installation
 

BET VIP 8 edit.png

Figure 8. Fake page offering free tickets to One Direction and Justin Bieber concerts
 

Similar scam tweets

In recent months, fans tweeting about pop stars One Direction, Justin Bieber, and Rihanna or their respective tours received the same type of scam tweets. In these cases, the landing pages for the scams asked them to fill out surveys, another common method scammers use to monetize these campaigns.
 

BET VIP 9 edit.png

Figure 9. Fake page offering free tickets to Rihanna’s Diamonds tour
 

Right now, there are hundreds of fake accounts on Twitter spreading these types of scams. The most prominent one is the concert ticket scam. However, we are also seeing this exact type of scam with other lures, including:

  • Free exercise equipment for users tweeting about the gym or working out
  • Entry in a prize sweepstakes for $5,000 for users tweeting about being bored
  • Access to an exclusive jobs database for users tweeting about work or jobs

If you’re a Twitter user and you receive a message claiming that you’re the winner of one of these prizes, you should immediately question it, be wary about clicking on any links, and report these fake accounts to Twitter.

When it comes to being a modern fan, if you’re offered free concert tickets, be very skeptical. Check the official social media accounts for the brands or artists to verify and if you’re still not sure, recognize that it is likely a scam.