No pleasure from this adult app – only pain

      No Comments on No pleasure from this adult app – only pain

A few weeks ago, I discovered and Julia warned you about a fake AVAST application which was infecting smartphones. It was hidden behind adult apps and was pretty nasty. Here is some detailed information about it. First of all, if you look for adult applications (also known as pleasure applications J ), you can find […]

Twitter ???????????? URL ??????????????

      No Comments on Twitter ???????????? URL ??????????????

Twitter のダイレクトメッセージで URL 送信が制限されているという報道(リンク 1リンク 2)があったばかりですが、スパマーは早くも先週末、この制限をすり抜ける方法を発見して、ダイエット薬のスパムリンクを送りつけています。

Fig1_5.png

図 1. スパムリンクを含むツイートをユーザーに送りつけるダイレクトメッセージ

このスパムが見つかったきっかけは、こちらが一方的にフォローしていただけのユーザーから突然フォローされ始めたことでした。新しくフォローされたという通知を受け取った直後に、そのユーザーからダイレクトメッセージが届いたのです。

Fig2_3.png

図 2. ダイレクトメッセージを通じて Twitter ユーザーに送信される悪質なリンク

通常の Twitter スパムとは異なり、このダイレクトメッセージで見つかるリンクは Twitter にアクセスします。リンク先は、あるツイートであり、そのユーザーが自身のアカウントに投稿したものです。

そのツイートに含まれるリンクをクリックすると、典型的なダイエット薬スパムに誘導されますが、これは数年前からさまざまなソーシャルネットワークで確認されているものです。

Fig3_3.png

図 3. リンクをクリックするとダイエット薬スパムの Web ページに誘導される

Twitter 上で「I recommend site(私のお勧めサイト)」というキーワードを検索すると、似たようなリンクをツイートした Twitter ユーザーが多数見つかります。つまり、それらのアカウントも乗っ取られており、そのフォロワーたちが同じようなダイレクトメッセージを受け取っているということです。

Fig4_1.png

図 4. ダイエット薬スパムのリンクを含むツイート

さらに調べたところ、Twitter では現在、bit.ly や TinyURL などの URL 短縮サービスへのリンクを遮断していることが判明しました。ダイレクトメッセージで、URL 短縮サービスのリンクを送信しようとしたところ、エラーメッセージが表示されました。

Fig5_1.png

図 5. ダイレクトメッセージに関する変更を通知する Twitter のサポート記事

Twitter のダイレクトメッセージでこのようなリンクが遮断されているのは、スパマーがスパムドメインのリンクを隠蔽するために URL 短縮サービスを使っているからでしょう。Twitter のヘルプに追加されている通知では、バックエンドを再構築中であるため一部の URL が送信できなくなっていると説明されています。こうした状況にもかかわらず、スパマーは攻撃を続けるための抜け道を見つけたということです。

自分や知人がツイートまたはダイレクトメッセージでスパムリンクを送信してしまったこに気付いた場合には、こちらの手順に従って、アカウントが乗っ取られないように注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ransomcrypt: ??????

      No Comments on Ransomcrypt: ??????

トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。

Fig1_4.png

図 1. Trojan.Ransomcrypt.F の支払い要求画面

Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。

Fig2_2.png

図 2. Trojan.Ransomlock.F の感染分布図

初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。

Fig3_2.png

図 3. Ransomcrypt の DNS 要求

シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。

作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。

Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。

Fig4_0.png

図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン

メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。

マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。

Fig5_0.png

図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン

Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Targeted Attacks in 2013

      No Comments on Targeted Attacks in 2013

It can all start with what looks like an innocuous email containing a link to a potential job opportunity. Or perhaps it’s an unexpected phone call from someone claiming to be a high-ranking employee, asking you to process an invoice sent by emai…

AVAST team gets together to work and to celebrate!

      No Comments on AVAST team gets together to work and to celebrate!

The release last week of the new #avast2014 became a great opportunity to get our global team together.  Members of the Social Media and Communication team met in the HQ of AVAST Software in beautiful Prague. Our team normally works remotely and its members are spread in different countries: Czech Republic, USA, Spain, and Germany. […]

Spammers Bypass Twitter’s URL Restrictions in Direct Messages

      No Comments on Spammers Bypass Twitter’s URL Restrictions in Direct Messages

Following media reports that Twitter has restricted URLs in direct messages, spammers found a way around this restriction this weekend in order to push diet pill spam links.

Figure 1. A direct message sends users to the tweet containing the spam link

Ransomcrypt: A Thriving Menace

      No Comments on Ransomcrypt: A Thriving Menace

While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…

Win32:Reveton-XY [Trj] saves hundreds of computers worldwide and cybercriminals know it!!!

      No Comments on Win32:Reveton-XY [Trj] saves hundreds of computers worldwide and cybercriminals know it!!!

It has been more than a year, since we last time reported about Reveton lock screen family. The group behind this ransomware is still very active and supplies regularly new versions of their ransomware. Recently we obtained a heavily obfuscated sample. As in most other cases we started with the examination of the obfuscated sample. […]

????????????????????????

      No Comments on ????????????????????????

寄稿: Binny Kuriakose

米国では、予算不成立の影響を受けて政府機関の大部分が閉鎖しているため、経済成長にも影響が出始めています。政府機関職員の多くが給与未払いのまま勤務を続けざるをえず、一部では無期限の一時帰休をとる事態に陥っています。

シマンテックは、政府機関の一部閉鎖が発表された直後から、その被害者を標的としたスパム活動を確認しています。これまでにもスパマーが景気の停滞を悪用しようとすることはありましたが、今回は、突然の政府閉鎖で市民が苦しめられている危機的な財政状況が直接狙われています。こうした事態を収束させようとしている上院の政策を考えると、これはおそらく、政府が閉鎖を解除する前にもっと荒稼ぎしておこうというスパマーの土壇場の試みなのでしょう。

この新手のスパムは、被害者を欺いて融資を申請させようという手口で、必然的に個人情報をスパマーに開示することになります。電子メールは、融資の処理から入金までがわずか 90 秒間で完了すると、その手軽さを謳っています。電子メールの件名も、被害者に近しい人から紹介があったかのように見せかけています。以下に、この攻撃で使われているメールヘッダーの例を示します。

差出人: “[名前]” <hufuf@[ドメイン]>
件名: Your name was mentioned(お名前をご紹介いただきました)

Figure1_3.png
図 1. 米政府機関閉鎖の被害者に融資を持ちかけるスパムメール

電子メールの内容は、不安を感じている被害者の気持ちをうまくつかむように工夫されています。たとえば、政府機関の閉鎖が続くかぎり財政的な支援があるといった内容です。電子メール本文に記載されているリンクをクリックすると別のページにリダイレクトされ、希望の融資金額を入力するよう求められますが、さらにページを進むと個人情報を入力するよう指示されます。
 
Figure2_3.png
図 2. 融資を勧誘する Web サイト
 

Figure3_2.png
図 3. ユーザーの個人情報を求めるページ

このスパムは、困り果てている被害者を狙ってきます。短時間で現金が手に入るという期待は抗しがたいほど魅力的であり、情報の足りない被害者は、まんまとこの詐欺に引っかかってしまいます。シマンテックは、スパマーが次々と繰り出してくる新しい手口を警戒し、スパムをスパムと見抜くための情報の提供を続けていく予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。