Trend Micro Announces Educational Technology Grant
Continues mission to promote digital literacy and citizenship among youth
Continues mission to promote digital literacy and citizenship among youth
A few weeks ago, I discovered and Julia warned you about a fake AVAST application which was infecting smartphones. It was hidden behind adult apps and was pretty nasty. Here is some detailed information about it. First of all, if you look for adult applications (also known as pleasure applications J ), you can find […]
Twitter のダイレクトメッセージで URL 送信が制限されているという報道(リンク 1、リンク 2)があったばかりですが、スパマーは早くも先週末、この制限をすり抜ける方法を発見して、ダイエット薬のスパムリンクを送りつけています。
図 1. スパムリンクを含むツイートをユーザーに送りつけるダイレクトメッセージ
このスパムが見つかったきっかけは、こちらが一方的にフォローしていただけのユーザーから突然フォローされ始めたことでした。新しくフォローされたという通知を受け取った直後に、そのユーザーからダイレクトメッセージが届いたのです。
図 2. ダイレクトメッセージを通じて Twitter ユーザーに送信される悪質なリンク
通常の Twitter スパムとは異なり、このダイレクトメッセージで見つかるリンクは Twitter にアクセスします。リンク先は、あるツイートであり、そのユーザーが自身のアカウントに投稿したものです。
そのツイートに含まれるリンクをクリックすると、典型的なダイエット薬スパムに誘導されますが、これは数年前からさまざまなソーシャルネットワークで確認されているものです。
図 3. リンクをクリックするとダイエット薬スパムの Web ページに誘導される
Twitter 上で「I recommend site(私のお勧めサイト)」というキーワードを検索すると、似たようなリンクをツイートした Twitter ユーザーが多数見つかります。つまり、それらのアカウントも乗っ取られており、そのフォロワーたちが同じようなダイレクトメッセージを受け取っているということです。
図 4. ダイエット薬スパムのリンクを含むツイート
さらに調べたところ、Twitter では現在、bit.ly や TinyURL などの URL 短縮サービスへのリンクを遮断していることが判明しました。ダイレクトメッセージで、URL 短縮サービスのリンクを送信しようとしたところ、エラーメッセージが表示されました。
図 5. ダイレクトメッセージに関する変更を通知する Twitter のサポート記事
Twitter のダイレクトメッセージでこのようなリンクが遮断されているのは、スパマーがスパムドメインのリンクを隠蔽するために URL 短縮サービスを使っているからでしょう。Twitter のヘルプに追加されている通知では、バックエンドを再構築中であるため一部の URL が送信できなくなっていると説明されています。こうした状況にもかかわらず、スパマーは攻撃を続けるための抜け道を見つけたということです。
自分や知人がツイートまたはダイレクトメッセージでスパムリンクを送信してしまったこに気付いた場合には、こちらの手順に従って、アカウントが乗っ取られないように注意してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。
最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。
図 1. Trojan.Ransomcrypt.F の支払い要求画面
Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。
図 2. Trojan.Ransomlock.F の感染分布図
初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。
図 3. Ransomcrypt の DNS 要求
シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。
作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。
Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。
図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン
メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。
マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。
図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン
Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。
ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
It can all start with what looks like an innocuous email containing a link to a potential job opportunity. Or perhaps it’s an unexpected phone call from someone claiming to be a high-ranking employee, asking you to process an invoice sent by emai…
The release last week of the new #avast2014 became a great opportunity to get our global team together. Members of the Social Media and Communication team met in the HQ of AVAST Software in beautiful Prague. Our team normally works remotely and its members are spread in different countries: Czech Republic, USA, Spain, and Germany. […]
Following media reports that Twitter has restricted URLs in direct messages, spammers found a way around this restriction this weekend in order to push diet pill spam links.
Figure 1. A direct message sends users to the tweet containing the spam link
…
While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…
It has been more than a year, since we last time reported about Reveton lock screen family. The group behind this ransomware is still very active and supplies regularly new versions of their ransomware. Recently we obtained a heavily obfuscated sample. As in most other cases we started with the examination of the obfuscated sample. […]