Microsoft Security Advisory (2896666): Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution – Version: 1.0

      No Comments on Microsoft Security Advisory (2896666): Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution – Version: 1.0

Revision Note: V1.0 (November 5, 2013): Advisory published.
Summary: Microsoft is investigating private reports of a vulnerability in the Microsoft Graphics component that affects Microsoft Windows, Microsoft Office, and Micros…

???????????????????????????

      No Comments on ???????????????????????????

悪質なゲームをダウンロードさせる手口は特に目新しいものではありませんが、マルウェアの作成者はいよいよオンラインゲームユーザーを標的にしようという野望を露わにしています。ゲームを狙うトロイの木馬が、ゲームのログイン情報に加えてユーザーの銀行口座も狙うようになってきています。

Infostealer.Gampass などの脅威が、何年も前からオンラインゲームユーザーのログイン情報やデータを盗み出してユーザーを悩ませてきましたが、登場してからまだ比較的日の浅い Trojan.Grolker も、新しい攻撃経路を使っています。

シマンテックは Trojan.Grolker の活動を 2012 年中頃から確認しています。感染の大部分は韓国で確認されており、それより規模は小さいながらハンガリーでの感染も見られます。攻撃者が韓国を標的にしているのは、韓国でオンラインゲーム人気が高いためです。

3353327_fig1.png

図 1. Trojan.Grolker の標的となっている国

今月までは、Trojan.Grolker もゲームを狙う典型的なトロイの木馬だったようで、盗み出すゲーム関連の情報は先行するマルウェアと同様のものでした。古い Grolker サンプルのコードを分析したところ、ブラウザの URL を Grolker の狙うゲームサイトの URL と比較していたことがわかります。それが対象の URL であった場合、Grolker は悪質な JavaScript を Web ページにインジェクトしていました。

3353327_fig2.png

図 2. 古い Trojan.Grolker の URL チェック

Grolker の新しいサンプルも以前と同じコードを使って、ブラウザに読み込まれた URL を韓国のオンラインバンキングサイトの URL と比較します。

3353327_fig3.png

図 3. オンラインバンキングサイトの URL を検索する新しい Trojan.Grolker

Grolker は、以前のサンプルと同様に、攻撃者が狙う URL を含むページに悪質な JavaScript をインジェクトします。韓国ではあらゆるオンラインバンキングサイトが標的となっているため、韓国のユーザーは大きく被害を受けています。

3353327_fig4.png

図 4. Grolker がオンラインバンキングサイトに悪質な JavaScript をインジェクト

正常な Web ページにインジェクトされる悪質な JavaScript は、トロイの木馬のバイナリファイルにハードコード化されています。Grolker は別個の設定ファイルを使わないので、その点がオンラインバンキングを狙う他のトロイの木馬(Trojan.Zbot など)とは異なるところです。

Grolker はブラウザヘルパーオブジェクト(BHO)を使って、コンポーネントを Internet Explorer のプロセスにロードします。オンラインバンキングを狙う他のトロイの木馬はコンポーネントをブラウザのプロセスに直接インジェクトし、ネットワーク機能をフックして Web トラフィックを傍受するのが一般的であり、これも Grolker が他のトロイの木馬と異なる点です。このように、Trojan.Grolker はオンラインバンキングを狙うトロイの木馬よりも、ゲームを狙う従来型のトロイの木馬に似ています。

Trojan.Grolker の攻撃から保護するために、最新のコンシューマ向けのノートン製品シマンテックのエンタープライズ向けソリューションを使用することをお勧めします。シマンテックは、この脅威を Trojan.Grolker として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

First upgrade to avast! 2014, then to Windows 8.1

      No Comments on First upgrade to avast! 2014, then to Windows 8.1

Are you ready to make the move to Windows 8.1? Reviews says that with Windows 8.1, Microsoft made some significant improvements, including restoring the much-missed start button. Make sure that your upgrade experience goes smoothly by installing avast! 2014 first. Avast! 2014 has Windows 8.1 certification which ensures that it meets compatibility standards and performs […]

A report from RSA Conference Europe 2013

      No Comments on A report from RSA Conference Europe 2013

In today’s world where malware evolves and develops rapidly, sharing security information is the key element for success. Companies which ignore this fact  sooner of later suffer from the consequences of their bad decision. Malware researchers from all over the world regularly meet at various IT security conferences, where they learn from each other how […]

How do I access the avast! Virus Chest?

      No Comments on How do I access the avast! Virus Chest?

Question of the week: What goes into the Virus Chest, and how do I remove what’s inside? Potentially harmful files are stored in a safe and completely isolated place called the avast! Virus Chest. This area keeps infected or otherwise suspicious files away from the rest of the operating system so they cannot cause damage […]

Leveling Up: Gaming Trojan Adds Banks to Target List

      No Comments on Leveling Up: Gaming Trojan Adds Banks to Target List

Malicious game downloads are not a new phenomenon, but malware authors are now exhibiting a greater degree of ambition in targeting online gamers. A gaming Trojan horse is now targeting user bank accounts in addition to user gaming credentials.
Threats…

????????????????????????????

      No Comments on ????????????????????????????

ディーワーリーがいよいよ間近に迫り、多くの人々がお祭り気分でオンラインショッピングを利用していることでしょう。なんといっても、最近のオンラインショッピングは楽しく、簡単で迅速です。

インドでは、オンラインショッピングが成熟期を迎えています。時間も掛からずお買い得情報も多いということで、この手軽な購入方法が人気を集めていますが、それと同時に、オンラインショッピングは、人々の隙を狙うサイバー犯罪者にとって絶好の狩り場になっていることを忘れてはなりません。詐欺師たちは、相も変わらず「特別セール、スピード配達」を謳った電子メールを送りつけています。

今回のブログで取り上げるサンプルでは、サードパーティ製のメーラーと、最近登録されたばかりのスパムドメインが、悪質な Web サイトへの誘導に使われています。以下に示すのは、スパマーがインドのオンラインショッピングを徹底的に研究し、それに合わせて攻撃活動をカスタマイズしていることがわかるサンプルです。

件名: This Diwali Gift B[REMOVED] – A Rare Collection of Modern & Stylish Home Utility Products(ディーワーリー向けギフト B [削除済み] – ここだけの品揃えでモダンかつスタイリッシュな家庭用品をお届け)
差出人: “B[削除済み]” <edm@[削除済み].co.in>

Figure 1.png

図 1. ホリデーシーズンを餌にしたスパムメール

スパムドメインは、このメッセージがインドの有名ブランドから送られたものであるかのように偽装されています。また、「差出人」欄でも、ユーザーを欺くようなトップレベルドメイン(TLD)が使われています。

次のサンプルメッセージは、有名ブランド腕時計の特別ディスカウントを謳ってユーザーを誘おうとするスパムです。ここでも同じようにインドの有名ブランドを騙り、サードパーティ製のメーラーを使ってスパムが拡散されています。

件名: DIWALI DHAMAKA Upto 80% Off On Watches, Clothing & Accessories(ディーワーリー特別セール、腕時計、衣料品、アクセサリが最大 80% オフ)
差出人: “B[削除済み] T[削除済み]” admin@[削除済み].org

Figure 2_2.png

図 2. 腕時計のディスカウントでユーザーを誘うスパムメール

スパムの手口はこれで終わりではありません。ユーザーがスパム用の Web サイトを閲覧し、購入する商品を選択すると、とたんに様子が変わりフィッシング攻撃が始まります。クレジットカードやデビットカードの情報を入力してカートの商品の購入代金を支払うよう求められるのです。

オンラインショッピングを楽しむ前に、以下の注意点を守るようにしてください。

  • よく知らない Web サイトではショッピングをしない。
  • 転送されたメッセージに記載されている広告リンクをクリックするときは十分に注意する。
  • 詐欺の可能性が高いので、ディスカウントには安易に飛びつかない。
  • オンライン決済の際にはくれぐれも用心する。
  • セキュリティ対策を実施していないスマートフォンやモバイルデバイスを使ったオンラインショッピングは特に危険であることに留意する。
  • サードパーティのオンラインショッピング用アプリケーションは悪質な場合があるので注意する。

シマンテックは、このホリデーシーズンにもユーザーの皆様の安全のために全力を尽くしますが、皆様も忘れずにウイルス対策シグネチャを更新するようにしてください。楽しく安全なディーワーリーをお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。