Malicious links: Spammers change malware delivery tactics
Significant spike in malicious spam emails containing links, as attackers move away from attachments in their efforts to spread Downloader.Ponik and Downloader.Upatre.
…
Trend Micro Announces Strategic OEM Agreement with HP
HP TippingPoint Advanced Threat Appliance family includes Trend Micro Deep Discovery for breach detection
Leave the tracking to the post office – not online advertising!
The holidays are here and many are opting to shop online for their holiday gifts, whether it’s to avoid the crowds or because time is running out. Online shopping is a convenient option, everything is almost guaranteed to be in stock, there are no lines and your purchase gets delivered to your doorstep. But, can […]
TorLocker ransomware variant designed to target Japanese users
New file-encrypting ransomware variant is the first to specifically target Japanese users.
Twitter Card Style:
summary
Ransomware is nothing new to Japan. Symantec’s research has found that Japan ranks among the regions that are the most affected by global ransomware attacks. However, no attacks specifically targeting Japanese users have ever been confirmed. That is, until now. In the recent weeks, Symantec has observed a ransomware variant in the wild that was designed to target users who speak Japanese.
Figure 1. Ransomware attacks in November 2014 by region
The ransomware threat in question is a localized variant of TorLocker. The malware encrypts files with certain file extensions on the compromised computer and demands that the user pays in order to decrypt the files. Symantec has confirmed multiple variants of this particular Japanese ransomware threat.
TorLocker has been used in ransomware attacks around the world. The threat is part of an affiliate program, where the program’s operator gives participants the builder to create custom ransomware, access to the TorLocker control panel to track infections, and miscellaneous files to be used in conjunction with the malware. In return, the participants give a portion of the profit from the attack to the affiliate program’s operator.
Infection
The localized variant’s attacks on Japanese users have occurred on compromised websites that commonly host blogs. However, it is also possible that the attacker is renting an exploit kit to automatically compromise victims’ computers by exploiting software vulnerabilities. In one case, a recently compromised site owned by a Japanese publishing company redirected traffic to several domains hosting the Rig exploit kit. This may have ultimately served the ransomware as a payload.
In another case in late November, a blog site was compromised to display a fake Adobe Flash Player installer page.
Figure 2. Fake Adobe Flash Player installer page
If the user clicks on the yellow install button, they are prompted to download and execute a setup file to install the plugin. However, the file does not contain the typical icon used in Flash Player installers. The file is not digitally signed either, which suggests that the installer is a phony.
Figure 3. Icon of the installer downloaded from the fake Flash Player page
Once the setup file is executed, it does not install Flash Player. Instead, it encrypts certain files and displays a message in Japanese in popup window, stating that the computer has been locked. The message then asks the user to pay in order to unlock their files. The demanded ransom ranges from 40,000 yen to 300,000 yen (approximately US$500 to US$3,600).
Figure 4. Pop-up window of the TorLocker ransomware variant targeting Japanese-speaking users
Stay protected
Japan is approaching its week-long New Year holiday. The long break is a perfect opportunity for the attacker to perform its campaign, as many users will likely surf the internet during the time off. Symantec has the following recommendations to avoid or mitigate ransomware infections:
- Update the software, operating system, and browser plugins on your computer to prevent attackers from exploiting known vulnerabilities.
- Use comprehensive security software, such as Norton Security, to protect yourself from cybercriminals.
- Regularly back up any files stored on your computer. If your computer has been compromised with ransomware, then these files can be restored once the malware is removed from the computer.
- Never pay the ransom. There’s no guarantee that the attacker will decrypt the files as promised once they receive payment.
Symantec and Norton products detect all of the ransomware variants discussed in this blog as Trojan.Cryptlocker.
?????????????: ????????????????????????
最近の大規模なデータ侵害を経て、アンダーグラウンド市場では活況を呈しています。盗まれた電子メールアカウントの価格は大幅に下落したものの、その他の違法な商品やサービスの価格は安定したままです。
Twitter Card Style:
summary_large_image
休暇シーズンには、最高の贈り物を最良の条件で求める買い物客がインターネットを探し回ります。この時期にお買い得品を探し求めるのは、一般消費者だけではありません。多くのサイバー犯罪者が、他人のお金で買い物をするとともに、アンダーグラウンド市場を利用して違法な商品やサービスを売買しようとしています。盗難データ、侵害されたオンラインアカウント、カスタムのマルウェア、攻撃サービスや攻撃インフラ、不正バウチャーなど、多種多様なものが購入できてしまうのです。
違法な商品やサービスの種類によって価格は大きく変動しますが、予算が非常に厳しいサイバー犯罪者にさえもお買い得品が存在します。攻撃者は、盗難データや侵害されたアカウントを 1 ドル未満で入手可能です。攻撃インフラなど大規模なサービスは、100 ドルから数千ドルで売買されています。それでも、こうしたインフラを利用して得られる利益を考えれば、初期投資に見合う価値があるのでしょう。
過去 12 カ月に発生したさまざまなデータ侵害や店頭レジ端末(POS)マルウェアの事案を考えると、アンダーグラウンド市場には盗難データがあふれていて、価格が下落していると思うかもしれません。ところが興味深いことに、市場で売買されている違法な商品の場合、これは当てはまらないようです。
アンダーグラウンドでの買い物
公衆インターネットで閲覧できる違法市場がある一方で、今年はアンダーグラウンドのサイトに関する報道が増えたため、多くの詐欺師たちがインターネットの暗部に移動することを余儀なくされました。たとえば、一部のフォーラムは隠しサービスとして匿名の Tor ネットワーク上でホストされています。また、招待者のみがアクセス可能で、かつ最近盗まれたばかりのクレジットカード情報 100 件など、金銭や商品の取引実績が必要とされる市場や、プライベートのチャットルームで運営され、新規ユーザーには厳しい審査手続きのある市場もあるのです。このような閉じたサークル内では通常、より多くの商品やサービスがより安い価格で取引されています。
販売されている盗難データ
データの販売価格は、電子メールアカウントなど一部については下落してきましたが、オンラインバンクの口座情報など利益が大きい情報については安定しています。2007 年には、盗まれた電子メールアカウントに 4 ドルから 30 ドルの値段が付いていました。2008 年には 0.10 ドルから 100 ドルの間で揺れ動き、2009 年には 1 ドルから 20 ドルの間を推移しています。現在は、盗まれた電子メールアカウント 1,000 件が 0.50 ドルから 10 ドルで入手可能です。この最新価格は、今や供給過剰となった状況が市場に反映されていることを示しています。
一方、クレジットカード情報の価格は、この数年下落していません。2007 年には、1 枚当たり 0.40 ドルから 20 ドルと広告されていました。カードのブランド、発行国、カードに関連するメタデータの量、大量購入割り引き、盗まれた時期など、さまざまな要因によって価格は変動します。2008 年、クレジットカード情報の平均的な希望価格は 0.06 ドルから 30 ドルとわずかに高くなり、同年の後半には 0.85 ドルから 30 ドルに上昇しました。現在では、0.50 ドルから 20 ドルです。クレジットカード情報の価格は、全般的にこの数年でわずかに下がっています。サイバー犯罪者が大量取引を行う場合は特にそうです。
もちろん、取引の詳細が闇の中であるため、どれだけの買い手が価格範囲内の高値を実際に支払っているかは不明です。また、一部の売り手は、古いデータを販売しようとしたり同じデータを何度も再販しようとしたりするなど、盗品の状態にも疑問があります。販売者の口座が有効かどうかや、クレジットカードが利用停止になっていないかどうかを確認する追加サービスが盛況なのは、このことが原因かもしれません。多くのアンダーグラウンド市場では、データの新鮮ささえも保証していて、クレジットカードが利用停止になっていたら購入後 15 分以内に交換することすら可能です。予想されるとおり、需要があるところには誰かが参入して、市場のギャップを埋めるのでしょう。
雇われの攻撃サービス
サービスとして提供されるクライムウェアも、アンダーグラウンド市場での人気が高くなっています。攻撃者は、ボットネットやその他のオンライン詐欺の実行に必要なインフラをまるごと簡単にレンタルすることが可能です。新規参入した犯罪者が攻撃活動を自力で実行する技術力を持たない場合でも、容易にサイバー犯罪を実行できてしまいます。
ドライブバイダウンロード Web ツールキットが、年中無休 24 時間のサポートと更新を含めて、1 週間あたり 100 ドルから 700 ドルでレンタルすることができます。オンラインバンクを狙うマルウェア SpyEye(Trojan.Spyeye として検出)の 6 カ月リース価格は 150 ドルから 1,250 ドル、分散型サービス拒否(DDoS)攻撃の 1 日あたりの価格は 10 ドルから 1,000 ドルです。買い手の金銭的利益に直結するあらゆる商品やサービスの市場価格は、安定を保持しています。
不正バウチャーやチケットで利益をあげる
サイバー犯罪者は、利益をあげるための新しい手口を常に考え出します。現在多く利用されているのはバウチャーやオンラインギフトカードで、これはオンラインで簡単に売買できるからです。攻撃者は、バウチャーやオンラインギフトカードを、盗難クレジットカードを使用して購入したり、乗っ取ったオンラインストアアカウントから作成したりします。その後、正規価格の 50% から 65% で販売するのです。また、ホテル、航空機、電車のチケットを本来の希望価格の約 10% で販売することもできます。もちろん、このようなチケットを購入するのは非常に危険です。先日、国際的な摘発作戦によって、偽造チケットを使用したか、または盗難クレジットカード情報を入手して航空券を購入した疑いで 118 名が逮捕されました。航空業界では、不正チケットによって年間 10 億ドル前後の損失が発生していると考えられています。
代理人が商品を転送するなどの古い手口は、あまり使われなくなってきています。盗難クレジットカードで購入した高価な商品を無関係の協力者に発送し、受け取った協力者が攻撃者の匿名私書箱に転送するという手口です。多くの小売店では発送先をクレジットカードに登録された自宅住所に限っているため、この方法は難しくなりつつあります。このため一部の攻撃者は、商品をどこかに配送させるのではなく、近所の店舗で商品を受け取るようになってきたようです。
拡大するアンダーグラウンド市場
アンダーグラウンド市場で販売されているのは、これらにとどまりません。次のような商品やサービスも販売されています。
- 身元詐称に利用できるパスポート現物のスキャン画像(1 ドルから 2 ドル)
- 価値の高いバーチャルアイテムを取得可能できる盗難ゲームアカウント(10 ドルから 15 ドル)
- ビットコインの支払先を攻撃者に書き換えて盗み取るツールなど、カスタムのマルウェア(12 ドルから 3,500 ドル)
- ソーシャルネットワークのフォロワー 1,000 名(2 ドルから 12 ドル)
- コマンド & コントロール(C&C)サーバーのホストに利用できる盗難クラウドアカウント(7 ドルから 8 ドル)
- 確認済みの電子メールアドレス 100 万件宛てにスパムを送信(70 ドルから 150 ドル)
- 登録済みで有効化済みのロシアの携帯電話 SIM カード(100 ドル)
保護対策
アンダーグラウンド市場が活況を呈していることから、自分自身のデータや ID を保護することが一層重要になっています。さもないと、この休暇シーズンに個人情報がサイバー犯罪者の買い物に悪用されることにもなりかねません。
シマンテックは、次の基本的なセキュリティ対策を講じることをお勧めします。
- 常に強力なパスワードを使用し、決して複数の Web サイトで使いまわさない。
- すべてのデバイス上のソフトウェアを定期的に更新して、攻撃者が既知の脆弱性を悪用することを防止する。
- 個人情報や口座情報を入力する際は、アドレスバーで鍵アイコンまたは「HTTPS」が使われていることを確かめ、その Web サイトがセキュアソケットレイヤー(SSL)証明書で暗号化されていることを確認する。疑わしい動作があったら、重要な情報をオンラインで送信する前に報告する。
- ノートン セキュリティなどの総合的なセキュリティソフトウェアを使用して、自分自身をサイバー犯罪から保護する。
- 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。嘘のようなうまい話には、たいてい裏がある。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Wanted: Avast for Business beta testers
Join our Avast for Business beta test program and prove its value to your company. In 2001, we began our journey toward becoming the leader in consumer desktop security by doing things differently and delivering a great product for free. Today, we protect more than 175 million home computers, more than anyone else. In 2011, we began our […]
Symantec to Pre-Verify Applicants on .bank and .insurance gTLDs
a fundamental shift in the Internet landscape
Twitter Card Style:
summary
As recently announced, fTLD Registry Services has partnered with Symantec to verify applicants before domain names are approved in the new .bank and .insurance generic Top-Level Domains (gTLDs). So what does this truly mean? Ultimately, it offers a form of brand protection for .bank and .insurance in this new era of the Internet.
July 2013 through February 2014 marked the second major landrush for addresses on the Internet. Companies from around the world applied to ICANN to operate nearly any gTLD they could think of (namely common search terms). For example we have applied to operate .symantec and .norton. With the new gTLDs as options for website developers, there are increasing risks to end-users who may confuse spoofed destinations with their real counterparts. For instance, let’s say ChelmoBank.com was a real address with millions of customers visiting daily. Without pre-verfication there would be little stopping a hacker from creating ChelmoBank.uk or Chelmobank.shop to confuse my customers and funnel them into a phishing scam as they do with subdomains (e.g., ChelmoBank.example.com). fTLD Registry Services recognizes this and is acting as the responsible operator of this new portion of the Internet. Fundamentally, this is a best practice among gTLD operators. It not only provides better brand protection, but it also enables website owners to go through a majority of the processing for an SSL certificate, which will allow the owners to easily apply for and rapidly install an SSL certificate from Symantec. At the end of the day this drives value for gTLD operators and allows their new virtual tenants to be seated among other websites which have all been vetted. Personally, I see this as the equivalent of setting up shop in a shopping mall in an affluent neighborhood.
If other registry service organizations would be interested in doing something similar to what fTLD Registry Services has done, then please email geoffrey_noakes@symantec.com today.
Mobile advertising firms spread malware by posing as official Google Play apps
As a malware analyst, I find new pieces of malware day in and day out. In fact, I see so many new malware samples that it’s difficult for me to determine which pieces would be really interesting for the public. Today, however, I found something that immediately caught my attention and that I thought would […]
Facebook’s new privacy policies and your data security
2015 is arriving and, as usual, tech companies start to launch their updates for the new year. However, it looks like someone is sparking some debate with its recent policies that are to be implemented in less than a month. That someone is… Facebook. After all the controversy around the Facebook Messenger app last summer, […]
When it comes to dangers on the internet, we are our own worst enemies
Today’s biggest threat to the normal consumer is the consumer themselves. This bold statement was made by Avast CEO Vincent Steckler in an interview with German technology website Valuetech in Munich last week. That’s a daring position to take after this year’s revelations about NSA spying, the theft of tens of millions of customer passwords […]