Category Archives: Security Response News

FakeAV holds Android Phones for Ransom

Hacker Medic June 21, 2013 No Comments

FakeAV software is a type of scam using malware that intentionally misrepresents the security status of a computer and attempts to convince the user to purchase a full version of the software in order to remediate non-existing infections. Messages continue to pop up on the desktop until the payment is made or until the malware is removed. This type of fraud, which typically targets computers, began several years ago and has now become a household name. The scam has evolved over time and we are now seeing FakeAV threats making their way onto Android devices. One interesting variant we have come across, detected by Symantec as Android.Fakedefender, locks up the device just like Ransomware. Ransomware is another well-known type of malware that takes a computer hostage, by denying the user access to their files for example, until a payment/ransom is handed over.

Figure 1. Screenshot of FakeAV Android app

Once the malicious app has been installed, user experience varies as the app has compatibility issues with various devices. However, many users will not have the capability to uninstall the malicious app as the malware will attempt to prevent other apps from being launched. The threat will also change the settings of the operating system. In some cases users may not even be able to perform a factory data reset on the device and will be forced to do a hard reset which involves performing specific key combinations and/or connecting the device to a computer in order to perform a reset using software provided by the manufacturer. If they are lucky, some users may be able to perform a simple uninstall due to the fact that the app may crash when executed because of compatibility issues.

Please take a look at the following video to see how FakeAV can lock up a device.

Default Chromeless Player

<!–
By use of this code snippet, I agree to the Brightcove Publisher T and C
found at https://accounts.brightcove.com/en/terms-and-conditions/.
–><!–
By use of this code snippet, I agree to the Brightcove Publisher T and C
found at https://accounts.brightcove.com/en/terms-and-conditions/.
–>

We may soon see FakeAV on the Android platform increase to become a serious issue just like it did on computers. These threats may be difficult to get rid of once installed, so the key to staying protected against them is preventing them from getting on to your device in the first place. We recommend installing a security app, such as Norton Mobile Security or Symantec Mobile Security, on your device. Malicious apps can also be avoided by downloading and installing apps from trusted sources. For general safety tips for smartphones and tablets, please visit our Mobile Security website.

Symantec detects this malware as Android.Fakedefender.

Prepare for #OpPetrol

Hacker Medic June 19, 2013 No Comments

On June 20, Anonymous will launch the #OpPetrol campaign. It was announced on May 11, shortly after the campaign called #OpUSA began.

These types of attacks are often similar, as we have seen in previous operations, and may include:

Distributed denial-of-service (DDoS) attacks
Hacking and defacing social media accounts or posting fake messages
Hacking and defacing organization websites or stealing information and posting it as “proof” of breach
Hacking organization servers and attempting sabotage, such as planting disk wiping malware

There are various ways attackers may target these organizations, including using tools like the LOIC (Low Orbit Ion Cannon) or phishing emails to trick recipients into revealing account login details.

Symantec advises organizations to be prepared for attacks in the coming days.

Organizations should monitor for unusual activities in their networks, particularly any attempts to breach the perimeters. Staff members should be specifically trained on social engineering mitigation tactics along with regular security awareness training. As always, we continue to stress the importance implementing a multi-layered approach to defense.

These recommendations apply to all organizations as best practices that should be carried out regularly as most attackers do not provide warnings in advance to targets.

Targeted Attack Exploits Ichitaro Vulnerability

Hacker Medic June 18, 2013 No Comments

JustSystems, developer of the Japanese word processor software called Ichitaro, recently announced a vulnerability (CVE-2013-3644) that has been exploited in the wild. Symantec has seen the exploitation being used in targeted attacks since May, but it…

Social Network Scam Targets NBA Finals

Hacker Medic June 18, 2013 No Comments

For sports fans, the most exciting time of the year is the post season. It is when the underdogs have a chance to topple the better teams in the league, or last year’s champions are trying to win it again. Depending on the sport, these events can draw a lot of viewers, whether it is a single event or a seven game series. So, its no surprise there are sites that claim to offer fans the ability to watch these events online.

Right now, we are in the midst of the NBA finals pitting some of the finest players in the league against each other in their quest to win it all. The series was just tied 2-2 before Game 5 on Sunday. On that day, some Facebook users may have seen pages offering a free live stream of the game.

Figure 1. Free live NBA Finals stream posted on Facebook

Facebook users may also see posts about NBA Finals live streams linking to a page hosted on Tumblr.

Figure 2. Free live NBA Finals stream page on Tumblr

When a user selects “YES I AGREE” on the Tumblr page they are redirected back to Facebook and asked to install an NBAFinals Facebook application.

Figure 3. Scam NBAFinals Facebook app, permissions request

This Facebook application requests access to your profile, friends list, and email address. If a user grants permission, the application will request more permissions.

Figure 4. Scam NBAFinals Facebook app requests additional permissions

In addition to posting to your friends on your behalf, the scam Facebook application requests more permissions that do not make any sense for an application to have in order to enjoy free live streaming, such as access to manage your Facebook pages.

Even worse, after the application installs, users are redirected to another Tumblr site and asked to spread the scam on Facebook before proceeding.

Figure 5. Scam NBA Finals site asks users to share on Facebook

Figure 6. NBA Finals scam spreads on Facebook

For the user, after all this, there is no live stream presented. Instead, users will see a video player that doesn’t work. Clicks on the video player redirects users to a plugin install page that earns the scammers money through affiliate links.

Figure 7. NBA Finals scam page contains no live stream

There are some references in the final page to other sites that claim to offer live streams of the game. These pages are not official however, and these types of streaming sites are prohibited.

For the scammers, getting the user to install their Facebook application keeps the scam going because the application posts messages to your timeline on your behalf.

Figure 8. Scam NBAFinals app timeline post on Facebook

In cooperation with Symantec, Tumblr has removed the sites associated with this scam and we have reported the application to Facebook.

Users should be aware which applications they install on Facebook, especially when looking for special features or access to websites that offer live sport streams. If it seems suspicious, most likely it is.

Hospitality Spam Takes a New Ride

Hacker Medic June 18, 2013 No Comments

Hospitality is the friendly bonding between the guest and host, especially efforts to make the guest feel comfortable. Spammers exploit hospitality events, and the bond between guest and host, with fake promotional offers. We are currently observing an increase in spam messages which exploit hospitality offered by major events, festivals, and concerts. The spam messages invite users to watch the events at entertaining venues happening in different places. Hospitality spam tries to entice users with bogus offers such as the following:

Luxury items
Fine dining
Champagne
VIP parking
VIP hostess service
Gambling
Q&A with sports celebrities
Large plasma screens

Figure 1. British Grand Prix hospitality spam

Figure 2. Ashes Series hospitality spam

A variety of subject lines have been observed in the hospitality spam attacks, such as the following:

Subject: VIP HOY Show hospitality
Subject: Unique opportunity to present a trophy at top event
Subject: Ringside dining action at HOY 2013
Subject: Exclusive Equine ringside action
Subject: Champagne journey to bitter grudge match
Subject: Looking for an evening of champion sport?
Subject: A unique moment to talk with the legendary Murray
Subject: 2013 Festival of Speed
Subject: Exclusive Race Day Hospitality with Murray Walker
Subject: A unique moment to talk with the legendary Murray

The “From” address associated with these hospitality spam emails include the following:

From: F1 Deals <mail@[REMOVED]>
From: Grand Prix <mail@[REMOVED]>
From: The Festival of Motoring <mail@[REMOVED]>
From: German battle <mail@[REMOVED]>
From: Horse Show <mail@[REMOVED]>
From: Top Horse Events <mail@[REMOVED]>
From: How’s that? <mail@[REMOVED]>
From: 2013 Race F1 <mail@[REMOVED]>

The main motive of these spam campaigns is to lure recipients by providing fake promotional offers and asking users to reply with questions about the event to the spam domain which is only registered for a year and hosted in the United Kingdom.

Symantec advises our readers to use caution when receiving unsolicited or unexpected emails. We are closely monitoring these spam attacks to ensure that users are kept up to date with information on the latest threats.

??????????????????????

Hacker Medic June 16, 2013 No Comments

寄稿: 篠塚大志

マルウェアの作成者は、より巧妙な手口を求めて常に新しい方法を模索しています。サイバー犯罪者の前にはシマンテック保護技術がいくつも立ちふさがり、ユーザーのセキュリティ意識も高くなっているため、彼らの攻撃が成功することはますます難しくなってきました。

最近の調査で、シマンテックは Word13.exe という変わった名前のサンプルを発見しました。外見だけからすると、デジタル署名された Adobe 社製のファイルのように見えます。

Fake Certificate 4.jpg

図 1. Adobe 社の署名の付いた Word13.exe ファイル

Fake Certificate 1.png

図 2. 偽のデジタル署名のプロパティ

しかし、よく調べてみると、実に興味深い点に気づきます。

Fake Certificate 2.png

図 3. 偽の署名と証明書

これが偽物であることは、［発行者］フィールドに「Adobe Systems Incorporated」と書かれていることでわかります。Adobe 社は VeriSign 製品の顧客だからです。また、証明書の情報を見ると、CA ルート証明書を信頼できないこともわかり、これも決定的な証拠になります。

Fake Certificate 3.png

図 4. Adobe 社の正規の署名と証明書

シマンテックは、このファイルに対する保護対策を提供しており、Backdoor.Trojan として検出します。

Backdoor.Trojan は、自身を実行して iexplore.exe または notepad.exe にインジェクトし、バックドア機能を開始します。

作成される可能性があるファイルは、以下のとおりです。

%UserProfile%\Application Data\ aobecaps \cap.dll
%UserProfile%\Application Data\ aobecaps \mps.dll
%UserProfile%\Application Data\ aobecaps \db.dat

また、ポート 3337 で以下のコマンド & コントロール（C&C）サーバーに接続します。

Icet****ach.com

そのうえで、このトロイの木馬は以下の処理を実行する可能性があります。

ユーザーとコンピュータの情報を盗み出す
フォルダを作成する
ファイルを作成、ダウンロード、削除、移動、検索、実行する
スクリーンショットを取得する
マウス機能をエミュレートする
Skype 情報を盗み出す

このマルウェアの被害を受けないように、ウイルス対策定義を常に最新の状態に保ち、ソフトウェアも定期的に更新するようにしてください。ダウンロードの URL が提示された場合には、必ずその URL を再確認し、必要に応じて念のために証明書と署名を確認してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Malware Using Fake Certificate to Evade Detection

Hacker Medic June 14, 2013 No Comments

Contributor: Hiroshi Shinotsuka

Malware authors are always seeking new ways to hone their craft. As cybercriminals are facing a multitude of preventative technologies from Symantec and users are becoming more security conscious, it is becoming increasingly difficult for the bad guys to win.

Recently, during research, we came across an oddly named sample, Word13.exe. Upon first glance, it appears to be a digitally signed file from Adobe.

Fake Certificate 1.png

Figure 1. Fake digital signature properties

But upon closer inspection we found something very interesting.

Fake Certificate 2.png

Figure 2. Fake signature and certificate

It’s fake, as the “Issued By” field says “Adobe Systems Incorporated” – Adobe is a VeriSign customer. Also, in the certificate information, we see that the CA Root certificate is not trusted – another dead giveaway.

Fake Certificate 3.png

Figure 3. Legitimate Adobe signature and certificate

Symantec has protection in place and detects this file as Backdoor.Trojan.

Backdoor.Trojan will execute and inject itself into iexplore.exe or notepad.exe and start a back door function.

It may create following files:

%UserProfile%\Application Data\ aobecaps \cap.dll
%UserProfile%\Application Data\ aobecaps \mps.dll
%UserProfile%\Application Data\ aobecaps \db.dat

It connects to the following command-and-control (C&C) server on port 3337:

Icet****ach.com

This back door may then perform the following actions:

Steal user and computer information
Create folders
Create, download, delete, move, search for, and execute files
Capture screenshots
Emulate mouse function
Steal Skype information

To ensure that you do not become a victim of this threat, please ensure that your antivirus definitions are always up-to-date and that your software packages are also regularly updated. Always double check the URL of the download that is being offered and, if applicable, check the certificate and signature just to be safe.

ICC ???????????? 2013 ???? 419 ??

Hacker Medic June 14, 2013 No Comments

国際クリケット評議会（ICC）のチャンピオンズトロフィー 2013 が、現在イングランドとウェールズで開催されています。グループマッチはすでに始まっており、決勝戦は 6 月 23 日に予定されています。これまでにもシマンテックは、ICC ワールドトゥエンティ 20 やクリケットワールドカップを狙ったさまざまなスパムメールを確認しています。予想どおり、ICC チャンピオンズトロフィー 2013 の詐欺メールが、Symantec Probe Network で検出され始めています。

419 詐欺（ナイジェリア詐欺）は、テキストベースの電子メール、.doc ファイル、PDF ファイルの形で届きます。今回の詐欺メッセージは、ICC UPDATE.doc という名前の .doc ファイルとして添付されており、カムリソラーラの新車、85,000 ユーロ相当が当選したと書かれています。これは典型的な 419 詐欺です。この詐欺メールによると、当選者の電子メールアドレスはある福引きで集められ、日本にある本部で行われた最終抽選に送られたことになっています。賞品を手に入れるためと称して、ユーザーは名前、電話番号、住所、職業などの個人情報の入力を要求されます。

419 ICC 1.jpeg

図 1. .doc ファイルが添付された 419 詐欺メール

419 ICC 2.jpeg

図 2. 詐欺メールの添付ファイルの内容

419 ICC 3.jpeg

図 3. 賞品を受け取るために個人情報を入力するよう誘導する 419 詐欺

送信元が正規のものでない限り、このような電子メールの中の URL はクリックしないようにしてください。スパム対策シグネチャを定期的に更新して、個人情報が漏えいしないよう保護することも忘れないようにしてください。シマンテックでは、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、スポーツイベントにちなんだスパム攻撃を監視しています。

Microsoft Office ???? CVE-2013-1331 ??????

Hacker Medic June 14, 2013 No Comments

脆弱性が発見されてから悪用が出現するまでの時間は、ますます短くなっています。ときには、数時間ということさえあります。そのため、IT マネージャは実働システムへのパッチ適用を急がされ、品質保証に必要な設定管理やベストプラクティスに抵触してしまいます。新しいパッチや更新を常にリリースし続けることに四苦八苦している企業も少なくありません。

今月の第 2 火曜日、2013 年 6 月 11 日に、Microsoft 社は多くの脆弱性を対象とするセキュリティ情報（MS13-051）を公開しました。報告によると、その脆弱性のひとつが標的型攻撃に悪用されています。攻撃者は、スピア型フィッシング攻撃の一環として、特別に細工した添付ファイルを送信してこの脆弱性を悪用できてしまいます。

Microsoft Office の PNG ファイルに存在するバッファオーバーフローの脆弱性（CVE-2013-1331）、すなわち Microsoft Office に存在するリモートスタックベースのバッファオーバーフローの脆弱性によって、リモートでコードが実行されます。これは、Microsoft Office 2011 for Mac と、全 Windows プラットフォーム向けの Microsoft Office 2003 に影響することが確認されています。

シマンテックは現在、この脆弱性に対して以下の検出定義を用意しています。

ウイルス対策定義

Trojan.Mdropper

侵入防止シグネチャ

Web Attack: Microsoft Office CVE-2013-1331 2
System Infected: Trojan Backdoor Activity 12

シマンテックは保護対策を強化するために、この脅威を継続的に監視し、対応ができしだい、該当の更新を提供する予定です。ウイルス定義対策を定期的に更新し、以下の Microsoft 製品の最新パッチをインストールすることをお勧めします。

????????????? Apple ?? App Store ???

Hacker Medic June 13, 2013 No Comments

日本語のワンクリック詐欺アプリが Google Play に初めて姿を現したのは今年の初めでしたが、その後ほぼ毎日のように新しい亜種が出現するなど、今ではマーケットの常連になっています。同じ詐欺グループが他のモバイルプラットフォームも狙おうとしているのかどうかが気になったため、簡単に調査を実施しました。その結果、他のプラットフォームでワンクリック詐欺は見つかりませんでしたが、Apple 社の App Store でワンクリック詐欺アプリに似た手口を使う巧妙なアプリを発見しました。

このアプリは、起動すると特定の URL にアクセスし、そこにあるコンテンツをアプリ内で表示します。アプリ自体が、詐欺サイトのフレームとして動作しているようなものです。このアプリからは偽の出会い系サービスにリンクしていますが、このようなサイトは日本語で「サクラ」と呼ばれています。アダルトビデオのサービス料金を支払うようユーザーを欺こうとするワンクリック詐欺アプリとは、この点が異なっています。

App Store では、このアプリはゲームとして紹介されていて、英語のページでは確かに出会い系サービスと関係があるようには見えません。

図 1. 英語版の App Store

一方、日本語ページの紹介文では、このアプリがアダルト関連であることが示唆されています。日本語ページでは、ユーザーが 18 歳以上でなければならず、また一定期間だけ無料でダウンロードできると説明されています。

図 2. 日本語版の App Store

アプリをインストールして起動すると、そのデザインは App Store に似ています。

図 3. ダウンロード可能なように見えるアプリ

デバイスのネットワーク接続を切断してから、もう一度このアプリを起動すると、何もコンテンツは表示されません。インターネットからダウンロードできないからです。

図 4. デバイスがネットワークに接続されていないときの表示

このアプリの中に表示されている、実際には存在しないアプリを開くと、デバイスのデフォルトブラウザで、各種の出会い系サービスサイトが表示されます。いずれもホストされているドメインは同じです。このドメインは、Android 版の同じ出会い系詐欺をホストしていることがすでに確認されている点に注目してください。

図 5. 詐欺で使われた出会い系の「サクラ」サイト

サービスに登録するとすぐに、実在しない人物から会ってみたいというメッセージがひっきりなしに届きます。実際には、出会い系サービスの運営業者が雇った人から送信されたメッセージであり、このような人々を日本では慣用的に「サクラ」と呼びます。このサイトの最終的な目的は、ユーザーを欺いて、オンラインでのやり取りを続けるためのポイントを購入させることです。ユーザーが実際にサイト上の誰かと会えるチャンスはほとんどありません。以上のことから、このタイプのサイトを日本では「サクラ」サイトと総称しています。被害者がサイトへの登録に使った電子メールアカウントには、あちこちの出会い系サービスからスパムが届くようになる恐れがあります。

この迷惑アプリは、さまざまな理由で明らかに App Store のポリシーに違反しているため、すでに App Store から削除されています。そもそも、このアプリはいったいどうやって承認されたのでしょうか。フレームとして機能するだけなので、承認プロセスの間は別のコンテンツ、おそらくはゲーム関係のコンテンツを表示していたのかもしれません。これは詐欺グループにとっては大きな商売なので、詐欺を拡散するためにさまざまな手法を駆使しています。ダウンロード元にかかわらず、アプリをダウンロードするときには警戒が必要です。

以下のビデオでは、この詐欺の仕組みを紹介しています。ただし、ビデオの撮影に使ったのは Android デバイスです。

Default Chromeless Player

<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>