In our blog, we wrote several times about various types of Ransomware, most recently about CryptoLocker. In most cases, ransomware has pretended to be a program installed into a victim’s computer by the police. Because of some alleged suspicious activities found on the user’s computer, ransomware blocks the user from using the computer and demands […]
Symantec has discovered a new back door worm-type threat which targets servers running Apache Tomcat. This threat is a little different from the ones we usually encounter every day.
Back door type Trojan horses and worms let attackers execute various c…
This blog post is based on the ‘Knowledge is Power: Symantec Guide to Protecting your Website’ whitepaper which is free to download now.In 2012 Symantec performed more than 1,400 website vulnerability scans each day. More than half the webs…
In recent days, the avast! Virus Lab has observed a high activity of malware distributed through exploit kits. Most cases of infection are small websites which usually provide adult entertainment, but there was also news about one of the top 300 visited websites being infected. Infection chains ended dropping a final payload in a form […]
寄稿: Avdhoot Patil
インターネットは、至るところにセキュリティ上の脅威が潜む危険な場所でもありますが、脅威が複合するとその危険性はさらに高くなります。最近のフィッシングはサイバー犯罪において重要な役割を担っており、フィッシング詐欺師も最近、他のセキュリティ上の脅威に対して関心を強めています。今年は、たとえばマルウェアやスパムといった脅威とフィッシングとの融合が確認されています。先日、偽アプリでマルウェアが使われていたのも、その一例です。
今月に入ってからも再び、Facebook に偽装したフィッシングサイトでマルウェアが使われました。このフィッシングサイトは、Android と iPhone のユーザーを誘導して偽アプリをインストールさせようとします。サイトのホストサーバーはフランスのパリに置かれ、ページはフランス語で書かれていました。
フィッシングサイトにはエサが付きものですが、毎度お決まりのエサでユーザーが見慣れてしまわないように、フィッシング詐欺師は次々と新たな手口を考え出してきます。今回のエサは、パスワードを入力せずに iPhone や Android から Facebook にログインできると謳う偽アプリの広告です。
図 1. 偽の Facebook アプリを宣伝するフィッシングサイト
広告の売り文句によれば、このアプリは 24 時間だけ無料で試用できます。広告の下にあるボタンは、翻訳すると「続行」という意味で、このボタンをクリックすると手順の書かれたページに移動します。
図 2. 偽アプリを利用するための手順説明
手順は以下のとおりです。
図 3. 個人情報の入力フォーム
この手順を読んで続行ボタンをクリックするとフィッシングページにリダイレクトされ、名前、電子メールアドレス、パスワードの入力を求められます。フィッシングサイトの説明によれば、このアプリをインストールすることで、ユーザーはこのアプリの使用を法的に同意したことになります。
このフィッシングサイトでは、個人情報を求める理由が以下のように説明されています。
図 4. モバイルアプリのインストーラに偽装した悪質なダウンロード
フィッシングサイトで次のページに進むと、アプリのダウンロードリンクとして Android と iPhone のロゴが表示されます。これらのリンクをクリックすると、iphone.zip.exe または android.phone.exe というファイルのダウンロードを確認するメッセージが表示されます。実際には、これは Android アプリでも iPhone アプリでもなく、Windows 用のマルウェアです(シマンテックはこれを Backdoor.Breut として検出します)。Android や iPhone のロゴを使っているのは、インストールを誘うためにすぎません。
今回のマルウェアを解析した結果、以下のような事実を確認しました。
この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Tacloban, the new ground zero created by Haiyan, is the raison d’être for a large Directory Harvest Attack (DHA) launched by spammers today.
A DHA attack is launched to check the validity of an email directory or emails related to a targeted email server. The aim of this is to collect intelligence and prepare a platform to launch a large spam campaign on that particular site once a database is put in place. Rejected emails return as bounce or Non-Delivery Report/Receipt (NDR) and the rest is concluded as legit, while valid emails will soon be bombarded with a host of spam, phish and malware laden email attacks.
The attack is launched, with the spammer claiming to be from a reputed mass media and communications company on a very large internet site and service provider, for the sole purpose of harvesting and validating email addresses.
The email’s structure is very simple. The headers and body content of the said attack are taken from a news article of a reputed news channel that was published around 14 November 2013. The alias in the form line and the subject line contain randomization at the end to prevent being caught by the spam filter detection.
Subject: Typhoon: After battle to survive, the struggle to live 26488
From: “Typhoon: After battle to survive, the struggle to live 26488″<email address>
Figure 1. A spam email about Typhoon Haiyan from a DHA attack
Symantec advises users to configure directory harvest attack recognition to protect their website environment, and to update their spam filter algorithms to repel such attacks.
Question of the week: I have read frightening stories about CryptoLocker locking computers. I don’t have $200 to pay blackmailers for my own files. How do I protect myself from getting attacked? Does avast! protect from CryptoLocker? “Avast! Antivirus detects all known variants of CryptoLocker thanks to our automated processing and CommunityIQ,” said Pavel […]
Whispers.
The secret to predicting the future is to listen for the whisper.
By the time you’ve heard things in a loud, clear voice they have already come true. I’ve been listening to the whispers in 2013 and have a pretty good idea for what we’ll be hearing loud and clear in 2014. Below are my predictions of the top things we’ll hear and what they will mean for us in 2014.
“Wait a minute…The Internet knows more about me than my own mother?”
People will finally begin taking active steps to keep their information private.
Privacy issues have littered the headlines in 2013, delivering a wake-up call to people and businesses about the amount of personal information we share and that is collected every day by everyone from your doctor to your social network. You can expect to see privacy protection as a feature in new and existing products. Then, beyond 2014, we’ll be arguing on whether or not these features actually provide any privacy protection. Expect Tor, which enables online anonymity, to become a popular application across the spectrum of Internet users. You’ll also see a resurgence of users adopting aliases and fake names on social networking sites to protect their privacy. And you know who is going to lead the way on this? Teens. They do care about privacy—and not just where their parents are concerned. Given this, more people will move to new, upstart and niche social networking sites, in an attempt to hang with their friends in obscurity. Which leads to my next prediction…
“Adult supervision is not wanted but adult behavior may keep you out of trouble.”
Scammers, data collectors and cybercriminals will not ignore any social network, no matter how “niche” or obscure.
It’s tempting to believe that you can move to a new neighborhood and all your old problems will go away. They don’t in real life and they won’t when it comes to social networking. Any new social network that attracts users will also attract scammers and miscreants. Users who feel it’s just them and their friends on these new sites are in for a big (and unpleasant) surprise. Your mother won’t be there to remind you, so let me: If something sounds too good to be true, it almost certainly is a scam. Protect yourself by using security best practices no matter where you are on the Internet, or how you connect to it. And speaking of connecting…
“Your toaster is not infected, but your security camera just robbed you blind.”
The “Internet of Things” becomes the “Internet of Vulnerabilities.”
You can expect dumb things will get smarter in 2014. With millions of devices connected to the Internet—and in many cases running an embedded operating system—in 2014, they will become a magnet for hackers. Security researchers have already demonstrated attacks against smart televisions, medical equipment and security cameras. Already we’ve seen baby monitors attacked and traffic was shut down on a major tunnel in Israel, reportedly due to hackers accessing computer systems via a security camera system. Major software vendors have figured out how to notify customers and get patches for vulnerabilities to them. The companies building gadgets that connect to the Internet don’t even realize they have an oncoming security problem. These systems are not only vulnerable to an attack – they also lack notification methods for consumers and businesses when vulnerabilities are discovered. Even worse, they don’t have a friendly end-user method to patch these new vulnerabilities. Given this, we are going to see new threats in ways in which we’ve never seen before.
“I like you, I like you, I like you… That will be $20 and your login and password, please.”
Mobile apps will prove that you can like yourself too much.
People (generally) trust those they sleep with, so it should not be surprising that with 48 percent of people sleeping with their smart phones, they are lulled into a (false) sense of security about them. In 2013, we reported on a mobile app that would secure additional “likes” for your postings on Instagram. All you had to do was hand over your login and password to some guy in Russia. More than 100,000 people saw nothing wrong with that. We trust our mobile devices and the wonderful apps that run on them to make our lives better. We suspend disbelief for that device that sits in our pocket, purse or nightstand. The bad guys are going to take advantage of this big time in 2014. I’m not even talking about malware – mobile apps are going to be behind hoaxes, cons and scams of all sorts in 2014.
So, there you have them, my predictions for 2014. Of course, the best part of trying to predict the future is being surprised by the unforeseen and the unimaginable. I’ll be right on some of my predictions. I’ll be proved wrong on others. What’s certain is that I’ll be listening for all the new whispers to see what 2015 will bring.
英国の国家犯罪対策庁(NCA)は先週、大量スパム攻撃によってきわめて多くのユーザーが Cryptolocker マルウェアの標的になっていると警告しました。
この警告によると、英国内で数百万人ものユーザーが悪質な電子メールを受け取っており、その主な標的は中小規模の企業のようです。
Trojan.Cryptolocker については最近のブログでも取り上げており、ランサムウェアに類する脅威の活発な進化の状況を報告しました。Cryptolocker は、侵入先のコンピュータ上のファイルを暗号化し、復号鍵を取引材料として身代金を要求する手口で増加しています。シマンテックは、『インターネットセキュリティ脅威レポート』の最新号で、このようなランサムウェアの急増を予測していました。
図 1. Cryptolocker に誘導されるスパムメールの例
このスパム攻撃では、被害者を狙うさまざまなワナが使われています。たとえば、覚えのない番号から発信された音声メッセージや、未払いの請求書などに偽装した電子メールが確認されています。
図 2. Cryptolocker に誘導されるスパムメッセージの別の例
悪質な添付ファイル自体はダウンローダであり、それを使って Trojan.Zbot など他の脅威が取得されます。それが最終的に Cryptolocker の感染を引き起こして身代金を要求します。
図 3. 復号鍵に必要な支払いの要求画面
NCA の警告によると、2 枚の Bitcoin(2013 年 11 月 18 日時点で 653 ポンドに相当)を要求する Cryptolocker のサンプルが確認されています。シマンテックが解析したサンプルの中には、Bitcoin を 1 枚だけ要求するものもありました。
シマンテックの Email Security.cloud をお使いのお客様は、組み込みの Skeptic™ テクノロジにより、このスパム攻撃から保護されています。また、シマンテックはこれらのサンプルに対して以下のセキュリティシグネチャを用意しています。
| 検出名 | 検出定義のタイプ |
| Downloader | ウイルス対策シグネチャ |
| Trojan.Zbot | ウイルス対策シグネチャ |
| Trojan.Cryptolocker | ウイルス対策シグネチャ |
| Trojan.Cryptolocker!g2 | ヒューリスティック検出 |
| Trojan.Cryptolocker!g3 | ヒューリスティック検出 |
| System Infected: Trojan.Cryptolocker | 侵入防止シグネチャ |
シマンテックでは、今後も Cryptolocker マルウェアの最新版に対して保護対策の提供を続けていきますが、お客様の側でも、万一 Cryptolocker に感染した場合に予想される損害を最小限に抑えるための対策として、ファイルを定期的にバックアップすることを強くお勧めします。組み込みツールを使ってファイルを復元する方法については、「Recovering Ransomlocked Files Using Built-In Windows Tools(ランサムウェアでロックされたファイルを Windows の組み込みツールで復元する)」(英語)と題したサポート記事を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Avdhoot Patil
The internet can be a dangerous place with security threats lurking from every direction, and it gets worse when threats meld together. Phishing today is a major part of cybercrime and phishers have recently gained interest i…