Back in the good ol’ days of Halloween, you only had to worry about your house getting egged or your big brother stealing the good candy. Halloween tricks have moved online, and along with any significant event or holiday, this spooky celebration marks an increase in malware. Cyber ghouls pull out their bag of tricks […]
10 月 29 日、シマンテックは、今年上半期に Android アプリマーケットに出現したセキュリティリスクに関するレポートを発表しました。このレポートではマルウェアとマッドウェア(モバイルアドウェア)の傾向を取り上げています。マッドウェアとは「攻撃的な広告ライブラリ」を使うアプリのことです。広告ライブラリは、ターゲティング広告を提供するためにアプリのユーザーに関する情報を収集する機能を備えていますが、一部には、個人情報を漏えいしたり、通知バーに広告を表示する、広告アイコンを作成する、Web ブラウザのブックマークを変更するといった、迷惑な動作を行ったりするものもあります。シマンテックは、このようなライブラリを「攻撃的な広告ライブラリ」と呼んでいます。
今年半ばの時点で 65 個の広告ライブラリが知られていましたが、そのうちの半数以上が「攻撃的」と分類されました。攻撃的な広告ライブラリを使うアプリの比率は 2010 年から上昇傾向にあり、2013 年の上半期には 23% にも達しています。今回のレポートによれば、マッドウェアが最も多く見つかるのは[カスタマイズ]カテゴリからダウンロードしたアプリで、[ライブラリ & デモ]カテゴリと[レース]カテゴリがこれに続きます。一方、マルウェアが多く見つかるのは[写真]、[アーケード & アクション]、[エンタテイメント]のカテゴリなので、マッドウェアとマルウェアでは存在している場所が異なります。
予想されたとおり、マルウェアは変わらず増加し続けており、既知のマルウェアサンプルの数(マッドウェアとグレイウェアは除く)は、2013 年 6 月にほぼ 275,000 に達し、1 年前の 2012 年同月と比べると 4 倍にもなっています。
「Mobile Adware and Malware Analysis(モバイルアドウェアとマルウェアの解析)」レポート(英語)は、こちらからダウンロードいただけます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Diwali is just around the corner and many users will be scampering for their festive shopping. since online shopping is cool, fast and easy these days.
India has come of age when it comes to online shopping. Many Indians are turning towards this easier mode of purchase which is less time consuming and comes with better bargains, but it is also turning out to be an easy hunting ground for opportunistic cybercriminals. Scammers and fraudsters are once again doing the rounds with out-of-the-world offers and speedy deliveries to users’ doorstep.
In the sample case discussed below, third-party mailers and spammy domains that are recently registered .in TLDs (top level domains) are being used for nefarious web activities. The samples discussed below illustrate how the spammers have conducted a thorough study of India’s online shopping environment, and customized their campaigns accordingly.
Subject: This Diwali Gift Bxxxx – A Rare Collection of Modern & Stylish Home Utility Products
From: “Bxxxx” <edm@XXXXX.co.in>
The spammer has garbed the domain to show that the message is from an Indian brand. They also used a top level domain in the “From” line, to trick the user.
In the second sample message, the spammer tries to woo the user by offering a very big discount on branded watches. Similarly, an Indian brand is spoofed to disperse spam using third party mailers.
Subject: DIWALI DHAMAKA Upto 80% Off On Watches, Clothing & Accessories
From: “BXXX TXXXX” admin@XXXXX.org
The spamming process does not stop here. Once the user has started flipping pages on the spammy website, and has chosen items to purchase, spammers shift their gear to phishing, where the user falls into the trap of paying for chosen items in the cart with their debit/credit card details.
Before going on an online shopping spree, Symantec advises users to pay attention to the following:
Symantec makes every effort to keep you safe this festive season. Let us help you be safe, don’t forget to update your antivirus signatures. We wish you and your loved ones a safe and hassle-free Diwali.
10 月 28 日、シリア電子軍(Syrian Electronic Army)は OFA(Organizing For Action)のスタッフ数人の電子メールアカウントを乗っ取ったという声明を発表しました。OFA は、オバマ大統領の Web サイト(barackobama.com)、Facebook アカウント、Twitter アカウント(@barackobama)も運営している非営利組織です。このハッキングの事実は @Official_SEA16 が投稿したスクリーンショットでも裏付けられており、OFA の一部スタッフが Google Apps for Business を通じて提供されている Gmail アカウントを使って業務を行っていたことも明らかになっています。
We accessed many Obama campaign emails accounts to assess his terrorism capabilities.(我々はオバマ大統領の支援キャンペーン組織の電子メールアカウントにアクセスして、彼の有するテロ実行能力を評価した。) They are quite high(テロ実行能力は非常に高い) #SEA pic.twitter.com/ARgGLX8IjN
— SyrianElectronicArmy (@Official_SEA16) 2013 年 10 月 28 日
攻撃者は、OFA がソーシャルメディアを通じてリンクを共有する際に使っていた URL 短縮サービス(ShortSwitch.com)にも侵入しました。乗っ取られたリンクをクリックすると、「Syria Facing Terrorism(テロに直面するシリア)」と題する YouTube の動画に誘導されていましたが、すでにこの動画は削除されています。
We are working with OFA.(私たちは OFA と連携しています。) Evidence suggests credentials were compromised elsewhere and used by unauthorized parties.(権限のない組織によって、どこからかアカウントが不正に侵入されて使われた形跡があります。) Forensics ongoing…(フォレンジック調査を進めています)
— ShortSwitch (@shortswitch) 2013 年 10 月 28 日
シリア電子軍は、風刺ニュースサイト「ジ・オニオン(The Onion)」を狙ったときと同じ方法で、オバマ大統領の支援キャンペーン組織を標的にしたものと見られています。ジ・オニオンは先ごろ、乗っ取られた経緯について説明する記事を公開しました。この記事では、スタッフが受信した電子メール(フィッシング攻撃)から偽の Google Apps ログインページにリダイレクトされてしまったと説明しています。
電子メールなどのサービスに Google Apps を利用している企業は少なくありません。しかも、そのうちの多くは、2011 年 8 月に導入されたセキュリティ機能である 2 要素認証(Google 社は 2 段階認証と呼んでいます)をいまだに有効にしていません。
電子メールに対する 2 要素認証は重要なセキュリティ機能であり、有効にしておくべきです。OFA の事例でも、スタッフが 2 要素認証を有効にしていれば、オバマ大統領支援キャンペーン組織の Google Apps 電子メールアカウントを乗っ取ろうとしたハッカーの試みを多少は防げたかもしれません。
SEA (@Official_SEA16) on Obama social media hack: “BTW, they didn’t even enabled 2-step verification” (SEA(@Official_SEA16によるオバマ大統領のソーシャルメディア乗っ取り: “2 段階認証すら有効になっていなかった”)http://t.co/VRF0bXqNdd
— Fran Berkman (@FranBerkman) 2013 年 10 月 28 日
Google Apps の管理者を務めている場合は、2 要素認証機能を有効にすることをお勧めします。2 要素認証(2 段階認証)を有効にするには、こちらの手順を実行してください。
Google Apps の管理者は、ドメインのすべてのユーザーに対して 2 要素認証を義務化し、強制することもできます。この機能を有効にする方法については、Google 社のヘルプページを参照してください。
フィッシング攻撃は進化し続けています。企業のたった 1 人がフィッシング詐欺のワナにはまるだけで、セキュリティは容易に低下してしまいます。Google Apps for Business のアカウントに 2 要素認証を導入するとともに、従業員に対しては基本的なセキュリティ対策(ベストプラクティス)について教育トレーニングを定期的に実施してください。
2 要素認証について詳しくは、以下のブログも参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
I am quite surprised at how inventive people can be when it comes to the thinking up weak passwords. The obviously weak combinations like ’1234′ or ‘qwerty’ along with names and phone numbers are quite common parts of passwords. Some background The story begins with me fighting a familiar piece of malware, Bicololo, which is […]
Today, we are publishing a report on the security risks present on Android app markets in the first half of this year. The report presents trends in malware and madware, the latter referring to apps that use aggressive ad libraries. Ad libraries have t…
多くの人が待ち焦がれているハロウィーンでは、街中が神秘と魔法とファンタジーで満ち溢れ、人々はさまよい歩く霊を追い払うためにかがり火を焚き、仮装をします。予想どおり、そのハロウィーンを悪用するさまざまなスパムメッセージが Symantec Probe Network に届き始めています。このスパムでは、偽のアンケートに答えて URL をクリックするよう求められますが、リンク先はスパムメッセージであり、偽のハロウィーン関連広告を宣伝する Web サイトにリダイレクトされます。
スパムメッセージで使われている語句としては、以下のような組み合わせが上位を占めています。
図 1. プレゼントを餌にユーザーを偽アンケートに誘うスパム
アンケートに答えると、プレゼントを受け取るためと称して個人情報の入力を求めるページが表示されますが、もちろんこれは偽装ページです。
図 2. ギフトカードを受け取るための偽のアンケート
ギフトカードを受け取るための情報を入力すると、個人情報を入力する Web ページに誘導されます。
図 3. ハロウィーンの仮装衣装を紹介する偽の広告
図 4. 偽の医薬品販売 Web ページ
上に示したサンプルは、偽の広告で医薬品を購入させようとする Web ページです。これらの Web ページをホストしているドメインは、ヨーロッパで登録されていることが判明しています。
今回のスパム攻撃で使われている電子メールの件名の例を以下に示します。
迷惑メールや心当たりのない電子メールを受信したときには、くれぐれもご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、ハロウィーンスパムに対して厳重な監視を続けています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Yesterday, the Syrian Electronic Army announced that it had compromised the email accounts of several staff members of Organizing For Action (OFA), a non-profit organization that also maintains the President’s website (barackobama.com), the President’s Facebook, and the President’s Twitter account (@barackobama). A screenshot posted by @Official_SEA16 confirms the hack and indicates some OFA staff were conducting business using Gmail email accounts, hosted through Google Apps for Business.
We accessed many Obama campaign emails accounts to assess his terrorism capabilities. They are quite high #SEA pic.twitter.com/ARgGLX8IjN
— SyrianElectronicArmy (@Official_SEA16) October 28, 2013
The attackers also compromised the URL shortening service that the President used to share links through social media (ShortSwitch.com). The compromised links directed users to a video called “Syria Facing Terrorism”, hosted on YouTube, which has since been removed.
We are working with OFA. Evidence suggests credentials were compromised elsewhere and used by unauthorized parties. Forensics ongoing…
— ShortSwitch (@shortswitch) October 28, 2013
The Syrian Electronic Army may have targeted the Obama campaign the same way that they targeted The Onion satirical news site. The Onion published a write-up explaining how they were compromised earlier this year. In the write-up, they point to emails they received (phishing attacks) that redirected staff to fake Google Apps login pages.
Many organizations use Google Apps for email and for other services. And many of these organizations have not yet enabled two-factor authentication (Google calls this two-step verification)—a security feature that has been available in Google Apps since 2011.
Two-factor authentication for email is an important security feature that should be enabled. In the scenarios such as the one above, two-factor authentication would have helped the staff members of OFA mitigate an attempt by hackers to obtain access to the Obama campaign’s Google Apps email account.
SEA (@Official_SEA16) on Obama social media hack: “BTW, they didn’t even enabled 2-step verification” http://t.co/VRF0bXqNdd
— Fran Berkman (@FranBerkman) October 28, 2013
If you are a Google Apps administrator, Symantec Security Response recommends turning on the two-factor authentication feature. Follow these instructions to allow two-factor authentication (2-step verification).
Google Apps administrators also have the option to “enforce” two-factor authentication, making it mandatory for all users of that domain. Please refer to Google’s help page for how to enable this feature.
Phishing attacks continue to evolve. All it takes is just one person in an organization to fall for a phishing scam to lower your security. Consider adding two-factor authentication to your Google Apps for Business account as well as incorporating regular user education training on security best practices for your employees.
For more information on two-factor authentication see:
Avast! Antivirus is the most trusted and popular antivirus in the world and a leader among worldwide antivirus vendors. “With nearly 200 million customers in 43 languages — a staggering 1 million users in 38 different countries — it is used by more people than rivals AVG Technologies, Symantec and McAfee combined,” wrote Jon Swartz […]
El 4 de septiembre de 2013, Symantec fue el primero en descubrir y añadir detección a un nuevo malware dirigido a cajeros automáticos llamado Backdoor.Ploutus, según lo informado en las definiciones de liberación rápida . Recientemente, se identificó una nueva variante de esta amenaza, la cual evolucionó y ahora se ha traducido al inglés, lo que sugiere que el software dirigido a los cajeros automáticos podría estar siendo usado también en otros países.
Tras esta investigación, el 25 de octubre de 2013 Symantec añadió una detección genérica para esta nueva variante con el nombre de Backdoor.Ploutus.B, por lo que ahora Ploutus se puede detectar cuando está inactivo y cuando está ejecutándose.
De acuerdo con fuentes externas, el malware se transfiere al cajero automático al insertar físicamente un nuevo disco de arranque en la unidad de CD- ROM. El disco de arranque es el que transfiere el malware.
Los delincuentes han portado el malware a una arquitectura más robusta y lo tradujeron al inglés lo cual sugiere que el mismo software que se descubrió en un inicio, ahora podría ser utilizado en países fuera de América Latina.
El número de bancos afectados por Backdoor.Ploutus.B está fuera del alcance de esta investigación, toda vez que dicha información es manejada por las entidades afectadas.
El nombre binario de la versión en inglés es “Ploutos.exe” en lugar de “PloutusService.exe” (como era en la versión en español). Ahora el programa ha pasado de ser algo independiente a ser una arquitectura modular.
Figura 1. Arquitectura modular de Ploutus
El nuevo servicio NCRDRVP esta fuertemente protegido contra ingeniería inversa y esconde sus acciones maliciosas para evitar ser detectado. De acuerdo con la investigación, puede realizar las siguientes tareas:
• Instalar o desinstalar el servicio
• Interceptar los mensajes del teclado del cajero para recibir órdenes de los delincuentes
• Iniciar al Dispatcher (ver arriba) y comunicarse a través de un raw socket
El Dispatcher recibirá instrucciones de NCRDRVP a través de un raw socket. Este socket no es fácil de detectarse, ya que no aparece en la lista de protocolos TCP o UDP que utiliza el sistema. El Dispatcher puede realizar las siguientes acciones:
• Analizar las órdenes recibidas para asegurarse de que son válidas
• Ejecutar Ploutus a través de la línea de comandos
Backdoor.Ploutus.B utiliza la misma interfaz (clase NCR.APTRA.AXFS ) para interactuar con el cajero, y solo se concentra en el suministro de dinero, pero agrega nuevas funcionalidades como:
• Puede imprimir la configuración completa del cajero automático si una impresora USB está conectada a la máquina (la versión en español envía esta información a un archivo log en lugar de imprimirlo)
• No cuenta con una interfaz gráfica de usuario (GUI) y en su lugar acepta comandos desde el teclado del cajero automático
• No ofrece soporte para un teclado externo conectado al cajero (como en la versión en español)
• Retira el dinero del casete o bandeja con más billetes disponible y ya no tiene la opción de ingresar una cantidad específica a retirar
• Mostrará una ventana a los criminales con los detalles de las transacciones realizadas y el dinero disponible en el cajero (esta vez en inglés):
Figura 2. Ventana mostrando el detalle de la transacción durante el retiro
La nueva versión tiene las mismas funcionalidades que la versión anterior:
Los atacantes envían un código de 16 dígitos a través del teclado del cajero, dicha información es recibida por el Servicio de NCRDRVP :
• 123456789ABCDEFG
Dicho código se envía entonces al Dispatcher a través del raw socket. El Dispatcher envía una instrucción de 33 dígitos a Ploutus a través de la línea de comandos:
cmd.exe / c Ploutos.exe 5449610000583686 = 123456789ABCDEFG
Si los últimos 16 dígitos son igual a: 2836957412536985 , entonces Ploutus generará un ID del cajero.
Si Ploutus genera un ID del cajero, los atacantes pueden ingresar otros 16 dígitos, pero sustituyendo los dos últimos teniendo la siguiente funcionalidad:
Si los dos últimos dígitos son 99:
• Ploutus se detiene
Si los dos últimos dígitos son 54:
• Se activara el cajero listo para entregar dinero
• Establece el contador de tiempo para entregar el dinero (24 horas)
Si los dos últimos dígitos son 31:
• El cajero entregara el dinero calculado e imprimirá la configuración completa del mismo si detecta una impresora USB conectada a la maquina
Lo que este descubrimiento pone sobre la mesa es el creciente nivel de cooperación entre los criminales del mundo físico tradicional con hackers y delincuentes cibernéticos. Con el uso cada vez mayor de la tecnología en todos los aspectos de la vida y las nuevas medidas de protección, los delincuentes tradicionales se están dando cuenta de que, para llevar a cabo robos con éxito, ahora requieren otro conjunto de habilidades que no necesitaban en el pasado. Los ladrones modernos de bancos ahora necesitan tener en su equipo a profesionales en tecnología calificados para ayudarles a robar.
Este tipo de situaciones no sólo pasa en las películas, está sucediendo en la vida real y es un ejemplo de cómo los ciberataques se están volviendo más específicos, recordemos que según datos del Informe sobre Amenazas a la Seguridad en Internet de Symantec, en 2012 los ataques dirigidos crecieron 42% y el sector financiero es el segundo sector más atacado por este tipo de cuestiones con 19% del total. Datos de septiembre de este año revelan que el 13% de los ataques por industria tuvo al sector financiero en la mira.
Cabe mencionar que los usuarios de los cajeros automáticos no están siendo afectados por esta situación directamente, sino que son las instituciones financieras las que están siendo blanco de este ataque, por ello, Symantec recomienda lo siguiente:
Symantec Security Response continuará monitoreando el comportamiento y evolución de de Backdoor.Ploutus para mantener a sus clientes protegidos.