?????????????????????????????????

      No Comments on ?????????????????????????????????

Browlock ランサムウェア(Trojan.Ransomlock.AG)は、現在出回っているランサムウェアの中でもおそらく最も単純な亜種でしょう。Ransomlock.AE のように別の悪用コンポーネントをダウンロードするわけでもなく、Trojan.Cryptolocker のようにコンピュータ上のファイルを暗号化するわけでもありません。侵入先のコンピュータ上でプログラムとして実行されることすらありません。このランサムウェアは昔ながらの単純な Web ページにすぎず、ブラウザのタブを閉じられなくする JavaScript が仕掛けられているだけです。ユーザーが住んでいる国または地域を判定したうえで、違法なアダルトサイトにアクセスしたと説明し、地元の警察当局に罰金を支払うよう要求するという典型的な脅迫を実行します。

Browlock 1 edit.png

図 1. 違法なアダルトノサイトにアクセスしたとして罰金を要求する Browlock ランサムウェア

驚かされるのは、Browlock の Web サイトにリダイレクトされたユーザーの数です。11 月に、シマンテックは Browlock の Web サイトへの接続を 65 万件以上も遮断しましたが、同じ傾向は 12 月も続いています。22 万件を超える接続が、12 月に入ってからわずか 11 日間で遮断されているのです。追跡を開始した 9 月からの合計では、約 180 万件の接続が遮断されていることになります。

悪用ツールキットやトラフィックリダイレクトシステムをよく知っている方には、こうした数字もとりたてて大きくは見えないかもしれませんが、これはシマンテック製品のユーザーに限った数字です。11 月に検出された 65 万という接続数はごく一部にすぎず、実際の数字はもっと大きい可能性があります。

Browlock 2.png

図 2. 2013 年 11 月と 12 月における Browlock ランサムウェアの活動状況

上に示した数字は、1 日あたりに検出された活動の総数です。攻撃は断続的に発生しており、特に際立っているのは 11 月 3 日と 11 月 16 日です。11 月 16 日には、13 万以上のコンピュータが Browlock の Web サイトへのリダイレクトを遮断されています。

攻撃手法

Browlock を使う攻撃者は、さまざまなアクセスを悪質な Web サイトにリダイレクトするトラフィックを購入している節があります。ここで使われているのがマルバタイジング(悪質な広告)です。マルバタイジングは、正規のネットワークからの広告購入を伴うアプローチとして広がりつつあります。広告先はアダルトサイトと思しきページで、そこから Browlock の Web サイトにリダイレクトされます。

Browlock の攻撃者が購入するトラフィックのソースは何種類かありますが、中心となるのはアダルト広告ネットワークです。MalekalDynamoo など、複数のセキュリティ研究者が過去数カ月にわたってこの活動を追跡しています。

最近の例では、攻撃者は広告ネットワークで複数種類のアカウントを作成し、支払い金を預けてから、オンラインチャットフォーラムに類似した名前の Web サイトにユーザーをリダイレクトするトラフィックを購入し始めていました。ユーザーがこのページにアクセスすると、Browlock のサイトにリダイレクトされます。実際、攻撃者はランサムウェアサイト自体と同じインフラに、正規のように見えるドメイン名をホストしています。

Browlock のインフラ

被害者が Browlock の Web サイトにリダイレクトされる際に、被害者と、その被害者の国や地域の法執行機関ごとに固有の URL が生成されます。たとえば、米国からアクセスしたユーザーは次のような URL に誘導されます。

fbi.gov.id693505003-4810598945.a5695.com

この URL には特徴的な要素が 2 つあります。fbi.gov という値と、実際のドメインである a5695.com です。fbi.gov という値は、明らかに米国の法執行機関を表しています。シマンテックは、およそ 25 の地域における 29 種類の法執行機関を表す値を特定しました。次のグラフは、特定された法執行機関のうち上位 10 位までについて接続の比率を示したものです。米国からのトラフィックが最も多く、ドイツ、ユーロポール(欧州警察組織)がそれに続いています。ユーロポールは、特定のイメージテンプレートが作成されていないときの欧州各国が対象です。

Browlock 3.png

図 3. Browlock の標的となった上位 10 の機関

次に問題となる値はドメインです。追跡を開始して以来、196 のドメインが確認されています。ドメインはいずれも、アルファベット 1 文字に 4 桁の数字が続き、.com で終わるという形式です。実際のドメインは、過去 4 カ月にわたって何種類もの IP アドレスでホストされています。

最も活動的な自律システム(AS)は AS48031 – PE Ivanov Vitaliy Sergeevich で、これは過去 4 カ月のどの月にも使われていました。攻撃者は、この AS で 7 種類の IP アドレスを順に使っています。

まとめ

Browlock ランサムウェアの戦術は、単純ですが効果的です。攻撃者は、悪質な実行可能ファイルを使わず、また悪用ツールキットにもアクセスしないことで予算を節約しています。被害者はブラウザを閉じさえすれば Web ページから逃れることができるので、誰も支払いなどしないとも考えられます。しかし、Browlock の攻撃者がお金を払ってトラフィックを購入しているのは明らかである以上、その投資を回収していることは確実です。アダルトサイトのユーザーを狙って、被害者の困惑につけ込むという通常のランサムウェアの手口も依然として続いており、それも成功率に貢献していると思われます。

シマンテックは、IPS とウイルス対策のシグネチャでお客様を Browlock から保護しています。

利用されている悪質なインフラ

AS24940 HETZNER-AS Hetzner Online AG

  • IP アドレス: 144.76.136.174、リダイレクトされたユーザーの数: 2,387

 AS48031 – PE Ivanov Vitaliy Sergeevich

  • IP アドレス: 176.103.48.11、リダイレクトされたユーザーの数: 37,521
  • IP アドレス: 193.169.86.15、リダイレクトされたユーザーの数: 346
  • IP アドレス: 193.169.86.247、リダイレクトされたユーザーの数: 662,712
  • IP アドレス: 193.169.86.250、リダイレクトされたユーザーの数: 475,914
  • IP アドレス: 193.169.87.14、リダイレクトされたユーザーの数: 164,587
  • IP アドレス: 193.169.87.15、リダイレクトされたユーザーの数: 3,945
  • IP アドレス: 193.169.87.247、リダイレクトされたユーザーの数: 132,398

AS3255 – UARNET

  • IP アドレス: 194.44.49.150、リダイレクトされたユーザーの数: 28,533
  • IP アドレス: 194.44.49.152、リダイレクトされたユーザーの数: 134,206

AS59577 SIGMA-AS Sigma ltd

  • IP アドレス: 195.20.141.61、リダイレクトされたユーザーの数: 22,960

Nigeria Ifaki Federal University Oye-ekiti

  • IP アドレス: 196.47.100.2、リダイレクトされたユーザーの数: 47,527

AS44050 – Petersburg Internet Network LLC

  • IP アドレス: 91.220.131.106、リダイレクトされたユーザーの数: 81,343
  • IP アドレス: 91.220.131.108、リダイレクトされたユーザーの数: 75,381
  • IP アドレス: 91.220.131.56、リダイレクトされたユーザーの数: 293

AS31266 INSTOLL-AS Instoll ltd.

  • IP アドレス: 91.239.238.21、リダイレクトされたユーザーの数: 8,063

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???? Web ????????

      No Comments on ???? Web ????????

Webcam blackmailing 1.jpg

Web カメラを通じて無防備な被害者を監視するクリープウェアについては、先日のブログでお伝えしました。名前が示すとおり、その性質は実に厄介です。残念ながら、インターネット上には類似の脅威がほかにも存在します。今年大きく蔓延しているもうひとつの詐欺行為は、Web カメラによる脅迫です。こちらの場合、詐欺師は Web カメラを利用しているという事実を隠そうとしません。

この詐欺はまず、ソーシャルネットワークや出会い系サイトでの友達申請から始まります。申請を送信してくるのは見るからに詐欺師のプロフィールで(女性を装っています)、申請の送信先は独身男性というのが相場です。しばらく会話を続けると、詐欺師は男性のプロフィールを好きになった理由を説明し始めますが、会話は次第にもっと性的な話題へと移っていきます。詐欺師はビデオチャットを求めて服を脱ぎ始め、相手の男性にも同じようにしてほしいと誘ってきます。男性が誘いに乗ると、詐欺師によって不名誉な動画の録画が始まり、最終的には十分違法性のある画像が残されてしまいます。動画が録画されると詐欺師はまた話題を一転し、支払いを拒否した場合にはこの動画をアップロードして、被害者の友達と共有すると脅してきます。

この詐欺には、複数の手口が存在します。たとえば、動画の代わりに写真を要求するものや、あらかじめ録画されたストリップ動画で被害者を誘惑するものがあります。また、インターネット接続や Web カメラの画質向上を謳って金銭を要求する手口もあり、送金すれば動画の画質が向上すると約束しますが、金銭を送ったが最後、約束が果たされることはありません。さらに質の悪い場合は、詐欺師は被害者が子どもとチャットしていたと主張し、小児性愛の証拠を添付して送りつけてきます。共有してしまった個人情報も、動画と一緒に公開されます。場合によっては、被害者のコンピュータにトロイの木馬を仕掛けるために、感染した Web サイトへのリンクが送信されてきます。詐欺の背後にある原理は常に同じであり、いずれにしてもソーシャルネットワークや出会い系サイトを使うときには用心が必要です。

  • 知らない相手から友達申請のメッセージが送られてきたときには注意してください。性的なビデオチャットに話題が急に変わった場合は、特に警戒が必要です。
  • カメラの前で不名誉になるような行為をしないように、よく考えてください。知らない相手と共有する個人情報は制限すべきです。
  • プリペイド型の詐欺に引っ掛からないようにしてください。どのような理由でも送金してはなりません。
  • 金銭を強要された場合には、言いなりに支払うのではなく、警察に連絡してください。恥ずかしさに負けてはいけません。不名誉な動画が万一アップロードされてしまった場合は、サービスプロバイダに連絡して削除を依頼してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Please Leave Your Hat On

      No Comments on Please Leave Your Hat On

Webcam blackmailing 1.jpg

Recently, we wrote about creepware and how people use it to spy on unsuspecting victims through webcams. As the name implies, this is really creepy. Unfortunately, there are other similar threats on the Internet. Another scam that has become very popular this year is webcam blackmailing. In these cases, the scammers don’t hide the fact that they are using the webcam.

The scam starts with a simple contact request on a social network or dating site. In general, the profile sending the request appears to be the scammer (posing as a woman), and the request is sent to single men. After a bit of small talk, the scammer explains why she fell in love with the man’s profile picture and then changes the topic to one of a more sexual nature. The scammer asks the man to video chat with her, starts stripping, and encourages the man to do the same. If the man joins in, the compromising video is recorded by the scammer until enough incriminating material has been gathered. Once enough video has been recorded, the scammer changes the topic again and indicates that the video will be publicly uploaded and shared with his friends on social networks if he does not pay.

Multiple variations of this scam exist. For example, some scammers ask for photos instead of videos, some use a previously recorded video of a woman stripping to entice the victim, and others ask for money for a better Internet connection or webcam. The scammer promises better video quality if money is sent, they pocket the money right away, and never buy better equipment. To make it even worse, scammers will claim that the victim was chatting with a child, attaching the stigma of pedophilia to the victim. Any personal information that was shared is published along with the video. In some cases a link to a compromised website is sent in order to infect the victim’s computer with a Trojan. The principle behind the scam is always the same. In any case, users should stay vigilant when using social networks or dating sites.

  • Be wary of messages from unknown people who want to befriend you. Especially if the topic of sexual video chatting is brought up quickly.
  • Think twice before performing compromising acts in front of a camera. Limit the personal details that you share with strangers.
  • Don’t fall for prepaid scams. Don’t send money for arbitrary reasons.
  • If someone attempts to extort money from you, don’t pay, and call the police. Don’t be embarrassed. If a compromising video of you has been uploaded, contact the service provider and try to have the content removed.

The State of Financial Trojans in 2013

      No Comments on The State of Financial Trojans in 2013
“Because that’s where the money is!” This is a quote frequently attributed to Willie Sutton as the answer he allegedly gave when asked why he robbed banks. Even though Mr. Sutton never gave this answer, it still holds true. 
 
This paradigm also holds true when it comes to today’s financial malware. Online banking applications are where money is moved; hence they are also the focus of attackers. It should not come as a surprise that we still see further development of Trojans targeting online banking services. One example that we recently blogged about is the Neverquest Trojan, a successor of Trojan.Snifula, which was first seen in 2006 but is still in use. 
 
The number of infections of the most common financial Trojans grew to 337 percent in the first nine month of 2013. This represents nearly half a million infected computers per month that are susceptible to fraud. To get a better understanding of the mechanics behind financial Trojans and the scale of their operations, we analyzed over one thousand recent configuration files belonging to eight online banking Trojans. These configuration files define which URLs the Trojan should attack and what attack strategy to use. Attacks vary from simple user redirection to complex Web-injects, which can automatically conduct transactions in the background. The analyzed configuration files targeted 1,486 organizations in total. This highlights the wide distribution of the Trojans, which target everything that could yield a monetary profit for the attacker.  
 
The most frequently attacked bank is located in the US and was present in 71.5 percent of all the examined Trojans’ configuration files. All of the top 15 targeted banks were found in more than 50 percent of the configuration files. This means that every second Trojan targets at least one of these banks. These high numbers might be because the targeted URLs are present as examples in some of the basic toolkits, which are sold with the Trojans. Another reason could be that the Trojans simply still work against these firms, as not all financial institutions have moved to strong authentication yet. Of course, most financial institutions are aware of these cybercrime developments and are deploying new protection mechanisms to block such attacks. Unfortunately, new security measures take time and money to roll out and the attackers will always come up with new attack avenues. After all, social engineering attacks still work, since some people will always fall for a cleverly crafted story. We expect that we will continue to see attacks targeting online banking services in the coming year.
 
If you want to learn more about the state of financial Trojans, we released an updated whitepaper on this topic.
 
We also have the following infographic on 2013’s financial threat landscape.
 
the_state_of_financial_trojans_infographic_v1.1_0.jpg

The State of Financial Trojans in 2013

      No Comments on The State of Financial Trojans in 2013
“Because that’s where the money is!” This is a quote frequently attributed to Willie Sutton as the answer he allegedly gave when asked why he robbed banks. Even though Mr. Sutton never gave this answer, it still holds true. 
 
This paradigm also holds true when it comes to today’s financial malware. Online banking applications are where money is moved; hence they are also the focus of attackers. It should not come as a surprise that we still see further development of Trojans targeting online banking services. One example that we recently blogged about is the Neverquest Trojan, a successor of Trojan.Snifula, which was first seen in 2006 but is still in use. 
 
The number of infections of the most common financial Trojans grew to 337 percent in the first nine month of 2013. This represents nearly half a million infected computers per month that are susceptible to fraud. To get a better understanding of the mechanics behind financial Trojans and the scale of their operations, we analyzed over one thousand recent configuration files belonging to eight online banking Trojans. These configuration files define which URLs the Trojan should attack and what attack strategy to use. Attacks vary from simple user redirection to complex Web-injects, which can automatically conduct transactions in the background. The analyzed configuration files targeted 1,486 organizations in total. This highlights the wide distribution of the Trojans, which target everything that could yield a monetary profit for the attacker.  
 
The most frequently attacked bank is located in the US and was present in 71.5 percent of all the examined Trojans’ configuration files. All of the top 15 targeted banks were found in more than 50 percent of the configuration files. This means that every second Trojan targets at least one of these banks. These high numbers might be because the targeted URLs are present as examples in some of the basic toolkits, which are sold with the Trojans. Another reason could be that the Trojans simply still work against these firms, as not all financial institutions have moved to strong authentication yet. Of course, most financial institutions are aware of these cybercrime developments and are deploying new protection mechanisms to block such attacks. Unfortunately, new security measures take time and money to roll out and the attackers will always come up with new attack avenues. After all, social engineering attacks still work, since some people will always fall for a cleverly crafted story. We expect that we will continue to see attacks targeting online banking services in the coming year.
 
If you want to learn more about the state of financial Trojans, we released an updated whitepaper on this topic.
 
We also have the following infographic on 2013’s financial threat landscape.
 
the_state_of_financial_trojans_infographic_v1.1_0.jpg

Instagram ???: 10 ????????????????????????????????

      No Comments on Instagram ???: 10 ????????????????????????????????

この週末、写真共有アプリ Instagram で大量のアカウントが削除されるというデマが広がりました。@activeaccountsafe という偽アカウントから、Instagram のプライバシーポリシー変更に関する通知と称する写真が投稿されたのです。この写真は、次のような文面でした。

「On December 20, 2013 we will be randomly deleting a huge mass of Instagram accounts. Many users create multiple accounts and don’t use them all. This cost us $1.1 million to run inactive accounts. These accounts become inactive and then create spams. In order for us to keep al spam off of Instagram we will be randomly deleting accounts. To keep your account active REPOST this picture with @ActiveAccountSafe & #ActiveAccountSafe . We’re doing this to keep active users online.
(2013 年 12 月 20 日に、大量の Instagram アカウントをランダムに削除する予定です。複数のアカウントを作成したまま、まったく使っていないユーザーが多数になり、使われていないアカウントの維持だけで 110 万ドル掛かっています。しかも、使われていないアカウントはスパムに利用されています。ランダムにアカウントを削除するのは、Instagram からスパムを一掃するためです。お使いのアカウントのご利用を続けたい場合には、@ActiveAccountSafe と #ActiveAccountSafe を付けてこの写真をシェアしてください。これはアクティブなユーザーの皆様に今後もサービスをご利用いただくための措置です)」

Instagram Hoax 1 edit 2.png

図 1. デマを拡散する Instagram アカウント @ActiveAccountSafe

このアカウントには 10 万近いフォロワーがおり、ハッシュタグ #ActiveAccountSafe も 15 万近い投稿に付けられていました。

Instagram Hoax 2 edit 2.png

図 2. 15 万近い投稿で使われたハッシュタグ #ActiveAccountSafe

先日も、10 万人の Instagram ユーザーが欺かれてログイン情報を提供してしまうという詐欺がありました。今回は、そのときとは異なり、Instagram のログイン情報を使ってログインするように求める指示はなく、単に写真をシェアするよう求めるだけでしたが、その意図は明白です。ソーシャルネットワークのユーザーは絶えず詐欺やスパム、デマに狙われており、こうした攻撃は成功しています。だからこそ、このような行為は後を絶たないのです。

12 月 20 日に大量のアカウントが削除されるというのはまったくのデマですので、Instagram ユーザーは心配する必要はありません。Instagram は、すでにこの偽アカウントが無効にしており、ハッシュタグも検索できないようになっています。

プライバシーポリシーの変更などがあるか確認するには、公式の Instagram アカウントをフォローし、Instagram のブログで更新情報を確認するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????

      No Comments on ????????????????????????????????

寄稿: Binny Kuriakose

「Hello world(ハローワールド)」、当社はデジタル対応です。そんな謳い文句はもう過去の話になりました。今では、スピードに対する要求から超特急の対応が迫られています。なにしろ、ボタンをひとつクリックするだけで、望みの Web ページを瞬時に用意できる時代です。実際、インターネットがもたらすコスト効果の高いビジネスと世界的な事業展開を狙って、企業は次々と Web に移行しています。そうした傾向に舌なめずりしているのがスパマーです。スパマーにとって、何も知らない無防備な獲物だらけになるクリスマスほど最高の狩猟シーズンはほかにはありません。

スパマーは、クリスマスシーズンに展開されるビジネスを体系的に吟味してさまざまなカテゴリを利用しています。年の瀬に迎えるクリスマスシーズンの祝い方を 7 月初めという早い時期から計画する人向けの宿泊施設関連のスパムから、帰宅前に大慌てでショッピングに走る駆け込み組向けのスパムまで、実に用意周到です。

  • クリスマス休暇を計画中の人々を狙った宿泊施設関連スパムには、次のような例があります。

差出人: Christmas Luxury <[name]@[domain].com>(特別なクリスマス <[名前]@[ドメイン].com>)
件名: A journey of Christmas luxuries(クリスマスに豪華なご旅行を)

figure1_5.png

図 1. 宿泊施設関連スパムのプレビュー

  • 手持ち資金に不足している人々を狙ったスパムの例には、ナイジェリア詐欺タイプの宝くじ広告があります。電子メールのヘッダーは以下のとおりです。

件名: XMAS PROMOTION!!(クリスマス特集!!)
差出人: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>(”[ブランド名] JACKPOT COMPANY INC.” <[名前]@[ドメイン].com>)

figure2_3.png
 

図 2. 「ナイジェリア詐欺」タイプのスパムのプレビュー

  • 何か心に残るギフトを贈りたいと考えている人々を狙ったスパムには、おもちゃやチョコレート、装飾品の偽広告の例があります。電子メールのヘッダーは以下のとおりです。

差出人: “[Brand name] giving an oil painting” <[name]@[domain].com>(”[ブランド名] から油絵を贈ります” <[名前]@[ドメイン].com>)
差出人: Christmas Luxury <mail@[domain].com>(特別なクリスマス <mail@[ドメイン].com>)
差出人: Chocolates Inquiry <mail@[domain].com>(チョコレートをお探しなら <mail@[ドメイン].com>)
差出人: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>(”ホリデーシーズンの装飾品” <Holiday.Ornaments@[ドメイン].com>)
件名: Exclusively Designed Christmas Ornaments(特別デザインのクリスマス装飾品)
件名: Delicious Christmas Chocolates !(おいしいクリスマスチョコレート!)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: A journey of Christmas luxuries(クリスマスの特別旅行)
件名: as a Christmas gift”[Brand name](クリスマスギフトに “[ブランド名] はいかが)

figure3_2_0.png

図 3. 名前入りギフトスパムのプレビュー

  • このクリスマスこそ高級腕時計やデザイナー商品を買いたいと思って早期から備えている人々を狙ったスパムの例には、各種の模造商品の投げ売り広告があります。電子メールのヘッダーは以下のとおりです。

差出人: “Early x-mas shopping” <[name]@[domain].com>(”早めのクリスマスショッピング” <[名前]@[ドメイン].com>)
件名: [Brand name] Smart Phone Clearout. 55% off MSRP([ブランド名] のスマートフォンを在庫一掃。メーカー希望小売価格の 55% オフ)
件名: Thinking about Christmas?(クリスマスのご予定はもうお考えですか)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: Great for Christmas(クリスマスに最適)
差出人: “Join us AT “[Brand name]” <[name]@[domain].com>(”ご一緒に “[ブランド名]” はいかがですか<[名前]@[ドメイン].com>)
件名: Christmas coming soon!! . Are you ready for the hot selling reason.(クリスマスはもうすぐ!! 大ヒット商品のそのワケを知るチャンス)
差出人: “[Brand name] <[name]@[domain].com>(”[ブランド名] <[名前]@[ドメイン].com>)

figure4_3.png

図 4. 模造品スパムのプレビュー

Figure5_0.png

図 5. 各種商品関連スパムのプレビュー

  • クリスマスを美しく迎えたいと思っている人々を狙ったスパムの例には、今すぐ痩せると謳うダイエット関連広告があります。電子メールのヘッダーには、以下のようなおなじみの煽り文句が使われています。

件名: BY Christmas Drop 23lbs(クリスマスまでに 10kg 減量)
件名: Look 23lbs thinner Christmas(10kg スリムになってクリスマスを迎えましょう)
件名: Did you see me on television Thursday?(木曜日のテレビはご覧になりましたか?)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)

Figure6_0.png

図 6. 医薬品関連スパムのプレビュー

  • いつまでも若い人々は、次のようなヘッダーの出会い系スパムに狙われているかもしれません。

差出人: “Date Someone” <[name]@[domain].com>(”デートの相手を探そう” <[名前]@[ドメイン].com>)
差出人: “Senior Dating” <[name]@[domain].com>(”シニア専用出会い系” <[名前]@[ドメイン].com>)
件名: Find a hot Christian this Christmas in your area(今年のクリスマスは、お近くでホットな出会いを)
件名: Find a local love to cuddle with this Christmas(今年のクリスマスは、地元で見つけた恋人を抱きしめよう)

Figure7.png

図 7. 出会い系スパムのプレビュー

  • お子さんにサンタクロースからの名前入り特製手紙が届くと称するアンケートもあります。電子メールのヘッダーは以下のとおりです。

差出人: Santa <Santa@[domain].com>(サンタ <Santa@[ドメイン].com>)
件名: Letters from Santa for your child(サンタからお子様への手紙)

Figure8.png

図 8. 子ども向けの名前入りギフトカードスパムのプレビュー

Figure9_0.png

図 9. クリスマススパムの件数を示した円グラフ

全体的に今年のクリスマススパムはテーマの範囲が広いようです。目的は、魅力的な謳い文句で好奇心をくすぐり、リスクの高い行動に至るユーザーや、安全ではないシステム、中途半端なソリューションを悪用することにあります。スパマーの関心は依然として、あらゆる人々の傾向を十分に理解して悪用し、ユーザーを誘導して重要な情報を引き出したり、怪しい Web ページにアクセスさせたりすることに集中しています。

電子メールの細かい部分に注意を払いながら、以下の点に注意してそれが正規のものかどうかを判断してください。

  • これまでに登録した、または登録を解除した覚えのあるサービスですか。
  • 同様の手口に引っかかってしまった友人から転送された電子メールではありませんか。
  • 電子メールの差出人、送信状況、内容は本物ですか。

ホリデーシーズンに電子メールを経由してオンラインで商品を購入する場合には、十分に警戒することをお勧めします。シマンテックは、マルウェアやスパムを遮断する保護対策を提供していますが、皆さんもウイルス対策のシグネチャを定期的に更新して、最新の脅威から身を守るようにしてください。保護対策を怠らず、けっして無制限に個人情報を公開しないようにしてください。

安全で楽しいクリスマスをお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Massive Malvertising Campaign Leads to Browser-Locking Ransomware

      No Comments on Massive Malvertising Campaign Leads to Browser-Locking Ransomware

The Browlock ransomware (Trojan.Ransomlock.AG) is probably the simplest version of ransomware that is currently active. It does not download child abuse material, such as Ransomlock.AE, or encrypt files on your computer, like Trojan.Cryptolocker. It does not even run as a program on the compromised computer. This ransomware is instead a plain old Web page, with JavaScript tricks that prevent users from closing a browser tab. It determines the user’s local country and makes the usual threats, claiming that the user has broken the law by accessing pornography websites and demands that they pay a fine to the local police.

Browlock 1 edit.png

Figure 1. Browlock ransomware demands a fine for surfing pornography illegally

What is substantial is the number of users getting redirected to the Browlock website. In November, Symantec blocked more than 650,000 connections to the Browlock website. The same trend continues in December. More than 220,000 connections were blocked just 11 days into December. Overall, about 1.8 million connections have been blocked since tracking began in September.

These numbers may not seem particularly large for those familiar with exploit kits and traffic redirection systems, but they solely represent users of Symantec products. The 650,000 connections detected in November is merely a piece of the pie, but the real number is likely to be much larger.

Browlock 2.png

Figure 2. Browlock ransomware’s activity in November and December this year

The previous figures show the amount of activity detected per day. The attacks occur in waves, with two particularly noticeable peaks on November 3 and November 16. On November 16, more than 130,000 computers were blocked from being directed to the Browlock website.

Getting the hits

The Browlock attackers appear to be purchasing traffic that redirects many different visitors to their malicious website. They are using malvertising, an increasingly common approach which involves purchasing advertising from legitimate networks. The advertisement is directed to what appears to be an adult Web page, which then redirects to the Browlock website.

The traffic that the Browlock attackers purchased comes from several sources, but primarily from adult advertising networks. Several security researchers have been tracking this activity for the past few months, notably Malekal and Dynamoo.

In a recent example, the attackers created several different accounts with an advertising network, deposited payment, and began buying traffic to redirect users to a website with a name that resembles an online chat forum. When the user visits the page, they are then redirected to the Browlock site. In fact, the attacker hosts the legitimate-looking domain name on the same infrastructure as the ransomware site itself.  

The Browlock infrastructure

When a victim is directed to the Browlock website, a URL specific to the victim and their country’s law enforcement is generated. For example, visitors from the US are directed to a URL which looks similar to the following:

fbi.gov.id693505003-4810598945.a5695.com

There are two notable elements of this URL. The first is the fbi.gov value and the second is the actual domain, a5695.com. The fbi.gov value is clearly meant to represent the local law enforcement agency. Symantec has identified 29 different law enforcement values, representing approximately 25 regions. The following graph shows the percentage of connections for the top ten law enforcement agencies identified. We found that traffic from the US was the most common. This is followed by Germany, then Europol, which covers European countries when no specific image template has been created.

Browlock 3.png

Figure 3. Top ten regions targeted by Browlock

The second relevant value is the domain. We have seen 196 domains since tracking began. The domains adhere to the format of a single letter followed by four digits and then .com. The actual domains have been hosted on a number of different IP addresses over the past four months.

The most active Autonomous System (AS) has been AS48031 – PE Ivanov Vitaliy Sergeevich, which was used in each of the past four months. The attackers rotated through seven different IP addresses in this AS.

Summary

The Browlock ransomware tactic is simple but effective. Attackers save money by not using a malicious executable or accessing an exploit kit. As the victim simply needs to close their browser to escape from the Web page, one might think that no one will pay up. However, the Browlock attackers are clearly spending money to purchase traffic and so they must be making a return on that investment. The usual ransomware tactic of targeting users of pornographic websites continues to capitalize on a victim’s embarrassment and may account for the success rate.

Symantec protects its customers from Browlock with IPS and AV signatures.

Malicious infrastructures used

AS24940 HETZNER-AS Hetzner Online AG

  • IP address: 144.76.136.174 Number of redirected users: 2,387

 AS48031 – PE Ivanov Vitaliy Sergeevich

  • IP address: 176.103.48.11 Number of redirected users: 37,521
  • IP address: 193.169.86.15 Number of redirected users: 346
  • IP address: 193.169.86.247 Number of redirected users: 662,712
  • IP address: 193.169.86.250 Number of redirected users: 475,914
  • IP address: 193.169.87.14 Number of redirected users: 164,587
  • IP address: 193.169.87.15 Number of redirected users: 3,945
  • IP address: 193.169.87.247 Number of redirected users: 132,398

AS3255 –UARNET

  • IP address: 194.44.49.150 Number of redirected users: 28,533
  • IP address: 194.44.49.152 Number of redirected users: 134,206

AS59577 SIGMA-AS Sigma ltd

  • IP address: 195.20.141.61 Number of redirected users: 22,960

Nigeria Ifaki Federal University Oye-ekiti

  • IP address: 196.47.100.2 Number of redirected users: 47,527

AS44050 – Petersburg Internet Network LLC

  • IP address: 91.220.131.106 Number of redirected users: 81,343
  • IP address: 91.220.131.108 Number of redirected users: 75,381
  • IP address: 91.220.131.56 Number of redirected users: 293

AS31266 INSTOLL-AS Instoll ltd.

  • IP address: 91.239.238.21 Number of redirected users: 8,063

Instagram Hoax: Over 100,000 Users Repost Bogus Account Deletion Message

      No Comments on Instagram Hoax: Over 100,000 Users Repost Bogus Account Deletion Message

Over the weekend, a hoax about mass account deletion made its rounds on photo-sharing app Instagram. A bogus account @activeaccountsafe, posted a photo which claimed to be a privacy policy update from Instagram. The photo reads:

“On December 20, 2013 we will be randomly deleting a huge mass of Instagram accounts. Many users create multiple accounts and don’t use them all. This cost us $1.1 million to run inactive accounts. These accounts become inactive and then create spams. In order for us to keep al spam off of Instagram we will be randomly deleting accounts. To keep your account active REPOST this picture with @ActiveAccountSafe & #ActiveAccountSafe . We’re doing this to keep active users online.”

Instagram Hoax 1 edit 2.png

Figure 1. The hoax Instagram account @ActiveAccountSafe

The account amassed close to 100,000 followers, while the hashtag #ActiveAccountSafe has racked up nearly 150,000 posts.

Instagram Hoax 2 edit 2.png

Figure 2. Nearly 150,000 posts using the hashtag #ActiveAccountSafe

We recently discovered a scam which duped 100,000 Instagram users into giving up their login credentials. Unlike the previous scam, this one did not ask users to login with their Instagram login credentials. It merely asked them to re-post a photo. However, the message is clear: social network users are constantly targeted by scams, spam and hoaxes and these campaigns succeed, which is why those responsible for them keep pursuing them..

Instagram users need not worry about plans to delete a large number of accounts on December 20, as it was all part of the hoax. Instagram has disabled the account and the hashtag is no longer searchable.

Symantec Security Response advises users to follow the official Instagram account and check the Instagram blog for updates to confirm any changes to privacy policy.

AVAR 2013, Chennai, India, trip report

      No Comments on AVAR 2013, Chennai, India, trip report

For those of you who have seen this name for the first time, AVAR stands for Association of anti-Virus Asia Researchers (http://www.aavar.org/avar2013/). This year, the 16th AVAR conference was held in a beautiful city of Chennai in Tamil Nadu, the state in the southern part of India. This year was particularly successful for Avast. Four researches […]