Smartphone owners are careless about security, says smartphone survey. Guys are more likely to get a virus on their smartphone than girls (36% vs 32%), and more than one third (34%) of survey respondents don’t have any anti-theft or antivirus security on their smartphones. Add to that nearly half of the people AVAST polled in […]
Contributor: Parag Sawant
Phishers continuously come up with various plans to enhance their chances of harvesting users’ sensitive information. Symantec recently observed a phishing campaign where data is collected through a fake voting site which asks users to decide whether boys or girls are greater.
The phishing page, hosted on a free Web hosting site, targets Facebook users and contains a fake voting campaign, “WHO IS GREAT BOYS OR GIRLS?” along with the “VOTE” button to register votes. The page is also embedded with pair of bar charts representing voting ratio and displays the total votes gained for the last four years. These give a more legitimate feel to the fake application.
Figure 1. The Facebook application asks users to register their votes
The first phishing page contains a button to initiate the voting process. After the button is clicked, a pop-up window appears, asking for a user’s login ID and password, as shown below:
Figure 2. A pop–up window requesting for user account information
The pop-up also contains two option buttons to vote for either male or female, and a button to submit the vote. After all the details and fields have been entered and filled up, the page then redirects the user to an acknowledgement page to confirm his or her voting information.
Figure 3. A voting confirmation message is displayed after user information is entered
We then tried returning to the first page and found that the vote count increases periodically. The number was previously 4,924,055 but has now increased to 4,924,096.
Figure 4. A comparison of the previous vote count and the current vote count
The phishers used the following phishing URL, and a subdomain to indicate that it is an application:
http://smartapps[DOMAIN NAME].com
If any user falls victim to the site, the phishers would then have successfully stolen personal user information for identity theft purposes.
The use of fake applications as bait is not uncommon, and Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks:
先週、Twitter アカウントが大量に侵入を受け、「miracle diet(奇跡のダイエット)」スパムを拡散するスパマーに悪用されました。侵入されたのは、有名人のアカウントだけではなく、一般の Twitter ユーザーのアカウントも被害に遭っています。
図 1. Twitter の「奇跡のダイエット」スパム
見覚えのある攻撃
ダイエットスパムは珍しいものではなく、さまざまなソーシャルネットワークサイトに登場しており、Twitter も例外ではありません。シマンテックは何年にもわたって、最近のダイエット熱に乗じようと多種多様な活動が繰り返されていることを確認しています。今回のケースでは、スパマーは Women’s Health の Web サイトに酷似したデザインのページで、ガルシニアの抽出物を売り込もうとしています。
図 2. この攻撃のスパマーが使っている偽の宣伝ページ
侵入を受けた著名なアカウント
今回のスパム攻撃では、スポーツ選手、政治家、テレビプロデューサー、ブロガー、コメディアンといった有名人のアカウントが侵入を受け、何十万というフォロワーに向けて爆発的な勢いで拡散に利用されました。
図 3. 侵入を受けた 2 人の有名人のアカウント
ツイートの多くには、「I couldn’t believe it when I lost 6 lbs(信じられない、3 キロも痩せるなんて!)」、「I was skeptical, but I really lost weight!(半信半疑でしたが、本当に痩せられました!)」などというメッセージが記され、Bitly.com を使った短縮 URL が続いています。
有名人、著名人が商品の推薦役として利用されるのはよくあることです。今回侵入を受けたアカウントのなかには、世界最高の筋肉美モデルと言われるジェイミー・イーソン(Jamie Eason)さんも含まれていました。ジェイミーさんのようなアカウントに侵入したスパマーは、ユーザーをそそのかしてリンクをクリックさせ、スパムを拡散させたうえで、あわよくばダイエット商品を購入させようとしています。
被害を受けた有名人の中には、単にスパムツイートを削除した人もいれば、アカウントが侵入を受けたことを率直に認めている人もいます。
Well, I *did* lose some weight recently. (No idea where that came from.)
— Jason Kottke (@jkottke) 2014 年 4 月 1 日
Thank you for tweeting about your recent weight loss strange hacker but please stop. Sorry for those tweets, I got hacked!
— Sebastian Vollmer (@SebVollmer) 2014 年 4 月 1 日
Looks like I got hacked. Sorry about that folks. I was not truly amazed by that diet link.
— JJ Redick (@JJRedick) 2014 年 3 月 31 日
侵入を受けた Web サイト
今回のスパム攻撃が過去のスパムに比べて際立っているのは、大量の Web サイトにも侵入を果たしており、それが「奇跡のダイエット」宣伝ページへのリダイレクトに使われていることです。
図 4. 侵入を受けた Web サイト。サポート対象外の Joomla が稼働している
侵入を受けていることをシマンテックが確認した Web サイトでは、コンテンツ管理システム Joomla の古いバージョンが稼働しています。具体的にはバージョン 1.5 で、これは 2012 年 9 月に、開発者によるサポートが終了しています。
図 5. スパムのリンクから、脆弱な Joomla の拡張機能が明らかに
このスパマーは、Joomla 用の jNews 拡張コンポーネントに存在する脆弱性も標的にしている節があります。シマンテックは、多くのサイト管理者に接触して、侵入を受けていることを通知しました。
Pinterest スパムとの関連
3 月の末には TechCrunch が Pinterest 上のスパムに関する記事を公開しました。TechCrunch 共同編集人のひとりがアカウントに侵入を受け、ダイエットの写真をピンするために使われたのです。シマンテックの調査によると、リダイレクトとして機能している画像の説明と感染サイトは、今回の Twitter に対する攻撃で使われていたものと似ているため、この 2 つの攻撃は、同じスパマーによるものと思われます。
図 6. TechCrunch 共同編集人が侵入を受けた Pinterest アカウント
結論
ダイエットスパムは今やおなじみになり、ソーシャルネットワークはスパマーが無防備なユーザーから金銭を巻き上げる格好の場となっています。今回のスパマーが一連の Twitter アカウントに侵入した手口はまだ判明していませんが、このページの手順に従って自身のアカウントを保護することをお勧めします。Web サイトを運営している場合には、コンテンツ管理システムを最新バージョンに移行することを検討してください。また、セキュリティパッチをすべて適用して拡張機能を更新し、Web サーバーでディレクトリのアクセス許可も再確認してください。
シマンテックは、今回の攻撃の監視を続けており、Twitter 社にも Bitly 社にもサポートを依頼したところです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
ここしばらく、日本のインターネットユーザーは SpyEye(Trojan.Spyeye)や Zeus(Trojan.Zbot)といった、オンラインバンキングを狙うトロイの木馬への対応に悩まされ続けています。これらのマルウェアによる被害件数も、銀行口座から引き出された金額も、驚くほどの割合で急増しています。警察庁によれば、オンラインバンキングでの不正な引き出しの件数は、2012 年の 64 件から、2013 年には 1,315 件へと跳ね上がりました。これだけでも、その深刻さがうかがえるでしょう。預金の被害額も、2012 年には 4,800 万円だったものが、2013 年には約 14 億円にのぼっています。
先日は、日本のユーザーから銀行口座に関する情報を盗み出そうとする複数のマルウェアファミリーも見つかっています。最近確認されたものとして Infostealer.Ayufos、Infostealer.Torpplar、Infostealer.Bankeiya がありますが、今回は Infostealer.Bankeiya について詳しく説明します。
シマンテックが Infostealer.Bankeiya に注目し始めたのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃の拡散が確認された 2 月のことです。この脆弱性についても、以前のブログでお伝えしています。当時はまだ、この脆弱性に対するパッチが公開されていなかったため、Internet Explorer 9 と 10 のユーザーは無防備なままになっていました。Infostealer.Bankeiya の開発者は、その状況につけ込み、さまざまな正規の Web サイトに侵入してドライブバイダウンロード攻撃を仕掛けたのです。3 月 11 日にパッチが公開されてもなお、盛んな攻撃が続きました。攻撃された正規サイトには、旅行代理店、テレビ局、宝くじのサイトのようにアクセス数の多いものから、少数ながらオンラインショップ、コミュニティサイト、個人 Web サイトなど小規模なサイトも含まれています。
Infostealer.Bankeiya の調査をさらに進めたところ、これは新しいマルウェアファミリーではないことが判明しました。実際に最初の亜種が発見されたのは 2013 年 10 月のことで、それ以来多くの亜種が確認されています。Infostealer.Bankeiya の目的は、侵入先のコンピュータからオンラインバンキングに関する情報を盗み出すことだけです。システムに感染するときに、Internet Explorer の脆弱性だけでなく、「Oracle Java SE に存在するリモートコード実行の脆弱性」(CVE-2013-2463)も悪用されていることをシマンテックは確認しています。他の脆弱性が悪用されている可能性も否定できません。
Infostealer.Bankeiya による典型的な攻撃の手順は、以下のとおりです。
図 1. Infostealer.Bankeiya の C&C サーバーのログインページ
シマンテックは、コンピュータに侵入した Infostealer.Bankeiya からそれ以上のデータが攻撃者に送信されないように、既知の C&C サーバーをシンクホールに捕捉しました。また、被害者のコンピュータからのアクセスログを記録してサーバーを監視し、この攻撃の拡散状況も概算しました。シマンテックがこれを実行したのは 3 月中旬のある 1 週間ですが、その結果によると最大 20,000 台のコンピュータが感染していたことになります。その大多数が日本国内の IP アドレスからのアクセスで、そのことに驚きはありませんが、感染件数を考えるといささか深刻です。以下に示す数字はインターネット上でサーバーにアクセスしていたデバイスの数に基づいており、一部のデバイスは感染していないシステムのため除外されていることに注意してください。
図 2. C&C サーバーにアクセスしていたデバイス
シンクホールのデータによれば、日本に次いで被害が多かったのは香港です。これは、CVE-2014-0322 の悪用コードに狙われたコンピュータについて以前のブログで示したデータとも一致していますが、それには理由があります。シマンテックの調査では、ファイルを使って Bitcoin をマイニング(採掘)する別種の攻撃との関連性も確認されています。侵入を受けた香港のフォーラムサイトにアクセスするユーザーを標的とした攻撃もあります。このケースでは、コンピュータのハードウェアを悪用して Bitcoin を採掘するために、jhProtominer という Bitcoin マイニングソフトウェアを被害者のコンピュータにダウンロードして実行する目的で CVE-2014-0322 の悪用コードが使われています。攻撃者は、国境を越えた別のユーザーを標的にすることにも意欲的なようで、利益のためならどのような機会も利用しようと狙っています。
マルウェア感染の多くは、侵入を受けた正規のサイトにアクセスしたために起きています。あらゆるソフトウェア製品は、最新のパッチを適用して頻繁に更新することが重要です。Infostealer.Bankeiya に悪用された脆弱性のケースのように、パッチが公開されていない場合もあります。そのような場合でも、セキュリティソフトウェアはコンピュータのセキュリティを強化するために効果があるので、セキュリティソフトウェアをインストールして最新の状態に保つようにしてください。こうした推奨事項に従えば、ほとんどの感染は予防できるものです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Question of the week: After the latest avast! update, I got a warning from the Microsoft Action Center that my antivirus is not working. It is working fine. How can I get this warning to go away? The Microsoft Action Center is a central place to view important messages about security and maintenance and take […]
If you need an SSL certificate to protect your website or some other business-critical application such as email or storage systems, then you need to remember your ABCDs.
There are a few different types of SSL certificate out there for different applications. For example, there are Unified Communications Certs (UCC) and code signing certificates. But the most common type is designed to secure a website, authenticate it and encrypt the traffic between the site and the user.
Within this group there are SSL Wildcard certificates that are ideal if you want to protect multiple subdomains of the same address, for example if you had multiple sites for different languages such as uk.company.com and us.company.com.
For other certificates, you have a choice of Extended Validation certificates which give site visitors visible reassurance about the provenance of the site and regular certificates. Within the Symantec SSL portfolio, there are different levels of encryption, different types of the encryption algorithm and security but they all include daily website malware scanning and Symantec Seal-in-Search.
More information about Symantec SSL certificates.
Before you buy a certificate, it’s important to check that you’ll get the support you need. Sometimes, even the most proficient IT managers needs help with a particularly complex certificate problem. With Symantec, you’ve got multi language 24/7/365 support on tap.
Not all SSL is the same because not all CAs are the same. Founded as VeriSign in 1995, we support the world’s largest and most critical certificate deployments. Our validation services process on average over four and a half billion hits per day – with zero downtime in more than ten years. This is why 97 of the world’s 100 largest financial institutions and 75 percent of the 500 biggest e-commerce sites in North America use SSL Certificates from Symantec.
Before you request a certificate, especially an Extended Validation (EV) certificate, it helps to have all your documentation ready. You’ll need to authenticate your organisation, prove you have authority to request a certificate, authenticate your domain and, in some cases, verify the organisation with additional documentation.
The more you know the better prepared you can be to enrol and install your certificate. Read on to find out how SSL and using the Norton Secured Seal on your site can help you succeed online.
For SSL download our interactive SSL resource, ‘SSL Explained’ now.
Earlier this week, a large number of Twitter accounts were compromised and used by spammers to spread “miracle diet” spam. The compromised accounts included public figures, as well as average users of the social networking service.
Figure 1. Twitter miracle diet spam
Déjà vu
Diet spam is quite common and can been found on various social networking sites and Twitter is no stranger to this problem. Over the years, we’ve seen many different campaigns try to capitalize on the latest miracle diet craze. In this particular case, spammers are trying to peddle garcinia cambogia extract through a page designed to look identical to the real Women’s Health website.
Figure 2. Fake promotional page used by spammers in this campaign
Notable accounts compromised
In the latest spam campaign, accounts belonging to athletes, politicians, television producers, bloggers, comedians and other public figures were compromised, which helped extend the spammers reach exponentially to hundreds of thousands of followers.
Figure 3. Compromised accounts of two public figures
Many of the tweets contained messages saying “I couldn’t believe it when I lost 6 lbs!” and “I was skeptical, but I really lost weight!” followed by a URL shortened using Bitly.com.
Celebrities and public figures are often sought after to help endorse products. One of the compromised accounts included Jamie Eason, known simply as the World’s Fittest Model. By compromising accounts like Jamie’s, spammers increase their odds of convincing someone to click on their links and perhaps even purchase the diet product.
While some of these notable figures simply removed the spam tweets, others were transparent enough to admit that their accounts were compromised:
Well, I *did* lose some weight recently. (No idea where that came from.)
— Jason Kottke (@jkottke) April 1, 2014
Thank you for tweeting about your recent weight loss strange hacker but please stop. Sorry for those tweets, I got hacked!
— Sebastian Vollmer (@SebVollmer) April 1, 2014
Looks like I got hacked. Sorry about that folks. I was not truly amazed by that diet link.
— JJ Redick (@JJRedick) March 31, 2014
Compromised websites
What makes this particular spam campaign stand out from others we’ve seen in the past is that the spammers have compromised a large number of websites that are being used to redirect people to their miracle diet promotional pages.
Figure 4. Compromised website running an unsupported version of Joomla
The compromised websites we found are running older versions of the content management system Joomla, specifically version 1.5, which stopped receiving support from the developers back in September 2012.
Figure 5. Spam link reveals vulnerable Joomla extension
It would also appear that the spammers have targeted a vulnerability within the jNews Joomla extension. We have reached out to a number of the sites to inform them that they have been compromised.
Connection to Pinterest spam
Last week, TechCrunch published an article about spam on Pinterest. One of their co-editor’s accounts was compromised and used to pin weight loss photos. Based on our research, the image descriptions and compromised sites acting as redirects are like the ones used in the Twitter campaign, so we believe that both campaigns are connected to the same spammers.
Figure 6. TechCrunch co-editor’s compromised Pinterest account
Conclusion
Diet spam is here to stay and social networks remain the perfect place for spammers to try to make money off of unsuspecting users. While it is still unclear how the spammers compromised these Twitter accounts, Symantec Security Response advises users to follow these steps to secure their accounts. For website owners, consider using the most recent version of your content management system, apply all security patches, update your extensions, and review the directory permissions on your Web servers.
We are continuing to monitor this campaign and have reached out to both Twitter and Bitly to provide assistance.
When Albert Schweitzer said “Happiness is nothing more than good health and a bad memory” he could not have possibly known how unhappy future Systems Administrators would be when they have a scheduled maintenance window to deploy anti-virus clients throughout the domain, only to realize that the password to log into the console has been […]
サイバー攻撃はますます大規模に、そして大胆になっているため、セキュリティ対策にも新たなアプローチが必要になってきています。サイバー犯罪者は、従来のコンピュータシステム以外にも攻撃対象を広げており、今ではインターネットに接続できるデバイスのほとんどが標的になる恐れがあります。2013 年は大規模なデータ侵害の年であり、推定 5 億件の情報が漏えいするという史上最大のデータ侵害も発生しました。店頭レジ端末(POS)がマルウェアに感染し、何百万件というクレジットカード情報が抜き取られる事件もありました。さらに一歩進み、悪質なコードを使って現金を盗み出す攻撃も発生しています。最近確認された Ploutus に至っては、単純な SMS メッセージを送信することで、携帯電話を使って ATM から現金を引き出すことさえ可能です。
インターネットに接続できるデバイスが増加するということは、攻撃者が企業環境に侵入できる経路が増えることを意味します。周辺機器や Web サーバーでデフォルトのままのパスワードが使われていたり、既知の脆弱性が残っていたりすれば、いとも簡単に侵入されてしまいます。しかも、頭痛の種は社内のセキュリティに限ったことではありません。多くの企業は、パートナーや仕入れ先、サービスプロバイダとの取引があり、取引先が何らかのレベルで企業ネットワークにアクセスできる場合もあります。こういったアクセスが侵入経路にもなりかねません。
その一方で、巧妙なスピア型フィッシングメールを使って従業員を狙い、企業の中心部に直接攻撃を仕掛けてくる攻撃者もいます。いったん侵入に成功すれば、攻撃者はネットワークを横断して、求めているデータを入手できるようになります。攻撃者は権限の昇格を狙っているのかもしれませんし、ハッキングツールをインストールして攻撃をやりやすくようとしているのかもしれません。求めるデータを手に入れたら、次に必要なのはそれを密かに外部に送り出すことです。その際にはステージングサーバーが使われる可能性もあります。
企業は、攻撃者が潤沢な資源と高いスキルを持っていることを自覚しなければなりません。攻撃者は、金融データでも顧客データでも、あるいは知的財産でも、標的に侵入してデータを入手するためにはあらゆる手段を尽くします。企業は、こうした攻撃者の先手を取るために、一歩先を行くサイバーセキュリティを導入する必要があります。
一歩先を行くサイバーセキュリティとは
攻撃が何段階にもわたって執拗に続けられることはわかっていますが、その段階ごとに、攻撃者は何らかの痕跡を残しています。投下されたファイル、ハッキングツール、ログイン失敗の記録、あるいは未知の FTP サーバーへの接続記録などです。一歩先を行くサイバーセキュリティでは、こうした侵入の痕跡を手掛かりにして実践的なインテリジェンスを構築することで、攻撃者が実際にネットワークに足場を築くよりも前に、攻撃の試みを検知して遮断できるよう学習します。一歩先を行くサイバーセキュリティを導入することにより、ネットワークセキュリティを確実に制御できるようになります。
一歩先を行くシマンテックのサイバーセキュリティソリューションにご興味のある方は、ぜひ Symantec Vision にご参加ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In the recent years, the Japanese internet community has faced difficult times trying to combat financial Trojans such as SpyEye (Trojan.Spyeye) and Zeus (Trojan.Zbot). The number of victims affected and the amount of funds withdrawn from bank accounts due to the compromise are increasing at an alarming rate. Just to give you an idea, according to the Japanese National Police Agency, the number of reported illegal Internet banking withdrawals jumped from 64 incidents in 2012 to 1,315 incidents in 2013. The loss in savings amounted to approximately 1.4 billion yen (US$ 14 million) in 2013, up from 48 million yen (US$ 480,000) in 2012.
More recently, the nation has also discovered that multiple malware families dedicated to stealing banking details from Japanese users are being developed. Recently, we have seen the development of Infostealer.Ayufos, Infostealer.Torpplar, as well as Infostealer.Bankeiya. Today, we are going to take a closer look at Infostealer.Bankeiya.
We became interested in this Trojan when we observed a widespread attack exploiting the Internet Explorer Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322) in February, which we published a blog on. At the time, there was no patch available for the vulnerability which left users of Internet Explorer 9 and 10 insecure. The Infostealer.Bankeiya developer decided to take advantage of the situation and compromised various legitimate websites in order to perform drive-by-download attacks. Even after the patch was released on March 11, the aggressive attacks have continued. These legitimate sites include commonly visited websites such as a Japanese tour provider, TV channel site, and a lottery site as well as a handful of small sites including online shops, community websites, and personal websites, among others.
After further investigating the malware we noticed that this was not a new family of malware. The very first variant was actually discovered in October 2013 and a large number of variants have been observed since. The sole purpose of Infostealer.Bankeiya is to steal banking details from compromised computers. Besides using the Internet Explorer vulnerability, we have also confirmed that Oracle Java SE Remote Code Execution Vulnerability (CVE-2013-2463) is being exploited to infect systems with Infostealer.Bankeiya as well. Other vulnerabilities could also be exploited.
A typical Infostealer.Bankeiya attack works like this:
Figure 1. Login page for Infostealer.Bankeiya command-and-control server
Symantec sinkholed known C& C servers to prevent the malware on the compromised computers from transmitting any further data to the attacker. We also monitored the servers by logging the accesses made by the victims’ computers in order to estimate how successful the attacks had been. We did this for a week in mid-March and the results indicate that up to 20,000 computers could have been compromised. A majority of accesses were coming from Japanese IP addresses. This is not surprising, but the sheer volume is a bit alarming. Please note that the following figure is based on the number of devices on the Internet accessing the servers and some devices were removed because they were non-infected systems.
Figure 2. Devices accessing the command-and-control servers
According to the sinkhole data, the second largest number of hits came from Hong Kong. This is also in line with the figure we provided in our previous blog about computers targeted with the CVE-2014-0322 exploit code. There is a reason for this. During our investigation we also noticed a connection with another type of attack that uses files to mine for bitcoins. One particular attack targeted users visiting a compromised forum site in Hong Kong. In this case, the CVE-2014-0322 exploit code was used to download and execute bitcoin miner software called jhProtominer on the victim’s computer in order to abuse the computer’s hardware to mine for the virtual coin. The attacker appears to be motivated enough to target different audiences across borders and is looking for any type of opportunity to make a profit.
Many malware infections occur as a result of visiting legitimate sites that have been compromised. It is vital that all software products are frequently updated so that the most recent patches are applied. In some cases, a patch will not be available, as was the case for one of the vulnerabilities used by Infostealer.Bankeiya. Security software can be used to strengthen the computer’s security status in such cases. So we urge you to install security software and keep it up-to-date. By following these recommendations, most infections can be prevented.