With more and more teens fleeing Facebook for more “parent free” social zones, alternatives such as Snapchat have become popular connection tools. Snapchat is a picture and video texting app that allows users to take photo snapshots (or “snaps”) and videos that the app will then make “vanish” after ten seconds. In essence, “snaps” replace Read more…
Can Facebook really put a ding in your self-esteem? According to a recent study—yes. In the study, conducted by Humboldt University in Berlin and Technical University in Darmstadt, German researchers found that of the 600 Facebook users polled, a third (one in three) of the respondents reported feeling negative after being on Facebook. Constantly seeing Read more…
Don’t get between your kids and the Internet! Plugged in through all manner of devices, your child is constantly active online, divulging every detail of his or her life. To a generation raised on reality TV, it comes as second nature to share location-based status updates, post photos and videos to public networks, play interactive Read more…
Contributor: Piotr Krysiuk
On June 5, Microsoft announced that they had worked together with members of the financial services industry and the FBI to disrupt the operations of a banking Trojan horse program called Citadel. The takedown operation resulted in over 1,000 Citadel botnets being taken offline.
Citadel is a banking Trojan that has been in existence since 2011. As with most banking Trojans, Citadel is a full crimeware kit, providing the attackers with payload builders, a command and control (C&C) server infrastructure, and configuration scripts to target various banks. Citadel is a descendant of that other behemoth of the financial Trojan world, Trojan.Zbot (Zeus). It came into existence after the Zeus source code was leaked in 2011, with criminal groups taking that code and enhancing it.
Figure 1. The Citadel Trojan interface
Citadel is aimed at a more “exclusive” attacker market than its more widespread predecessor, Zeus. The Citadel kit is sold through underground Russian forums and typically costs around $3,000, compared to $100 for the SpyEye and leaked Zeus kits. Citadel users will also have to fork out a further $30-$100 to purchase Web inject code for the banks that they wish to target. Additionally, even if attackers have that money to spend, there is a strict vetting process with referrals required for new purchasers.
Citadel infections have spread around the globe, but in the past six months the majority of infections have been in Australia, Italy and the US.
Figure 2. Citadel infections from January to June 2013
Symantec welcomes news of the takedown of these Citadel botnets. While these takedowns may not eliminate the threat of Citadel completely, it certainly disrupts current campaigns and sends out a clear message to attackers that their actions are being monitored. Symantec also welcomes the cooperation between the public and private sector in taking action against this threat.
For more information about the world of financial Trojans, read our whitepaper. Symantec’s current antivirus and intrusion prevention signatures provide protection against Citadel infections.
Contributor: Piotr Krysiuk
On June 5, Microsoft announced that they had worked together with members of the financial services industry and the FBI to disrupt the operations of a banking Trojan horse program called Citadel. The takedown operation resulted in over 1,000 Citadel botnets being taken offline.
Citadel is a banking Trojan that has been in existence since 2011. As with most banking Trojans, Citadel is a full crimeware kit, providing the attackers with payload builders, a command and control (C&C) server infrastructure, and configuration scripts to target various banks. Citadel is a descendant of that other behemoth of the financial Trojan world, Trojan.Zbot (Zeus). It came into existence after the Zeus source code was leaked in 2011, with criminal groups taking that code and enhancing it.
Figure 1. The Citadel Trojan interface
Citadel is aimed at a more “exclusive” attacker market than its more widespread predecessor, Zeus. The Citadel kit is sold through underground Russian forums and typically costs around $3,000, compared to $100 for the SpyEye and leaked Zeus kits. Citadel users will also have to fork out a further $30-$100 to purchase Web inject code for the banks that they wish to target. Additionally, even if attackers have that money to spend, there is a strict vetting process with referrals required for new purchasers.
Citadel infections have spread around the globe, but in the past six months the majority of infections have been in Australia, Italy and the US.
Figure 2. Citadel infections from January to June 2013
Symantec welcomes news of the takedown of these Citadel botnets. While these takedowns may not eliminate the threat of Citadel completely, it certainly disrupts current campaigns and sends out a clear message to attackers that their actions are being monitored. Symantec also welcomes the cooperation between the public and private sector in taking action against this threat.
For more information about the world of financial Trojans, read our whitepaper. Symantec’s current antivirus and intrusion prevention signatures provide protection against Citadel infections.
6 月 5 日、Kaspersky 社は「The NeTTraveler (aka ‘TravNeT’)」(英語)と題するホワイトペーパーを公開しました。このホワイトペーパーでは、政府機関、企業、民間団体など世界中のさまざまな組織を狙う、ある標的型攻撃について解析されています。この調査は、「Travnet Trojan Could Be Part of APT Campaign(Travnet Trojan は APT 攻撃の一環か)」(英語)という McAfee 社のブログにも関連しています。これは、シマンテックも監視を続けている、ある攻撃について今年の 3 月に公開されたブログです。シマンテックは、この脅威に対して以下のウイルス対策定義を追加しました。
また、以下の IPS 定義も追加しています。
この攻撃で確認された感染経路はスピア型フィッシングメールで、特別に細工されたリッチテキスト形式(RTF)のファイルが添付されています。悪質な RTF ファイルで悪用が確認されているのは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)と Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性(CVE-2010-3333)ですが、どちらも Microsoft Office などの Microsoft 製品についてパッチがすでに公開されている脆弱性です。同様の動作は、Microsoft Word を悪用して投下されるファイルでも確認されており、これは Trojan.Mdropper として検出されます。
悪用に成功するとマルウェアが投下され、そのマルウェアがさらに別のファイルを投下したうえで標的から情報を盗み出し、攻撃者のコマンド & コントロール(C&C)サーバーに送信します。シマンテック製品は、このスピア型フィッシングの Word 文書を Trojan.Mdropper として、投下されるファイルを Trojan.Travnet として検出します。
お使いのソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないようにしてください。標的型攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
6 月 5 日、Kaspersky 社は「The NeTTraveler (aka ‘TravNeT’)」(英語)と題するホワイトペーパーを公開しました。このホワイトペーパーでは、政府機関、企業、民間団体など世界中のさまざまな組織を狙う、ある標的型攻撃について解析されています。この調査は、「Travnet Trojan Could Be Part of APT Campaign(Travnet Trojan は APT 攻撃の一環か)」(英語)という McAfee 社のブログにも関連しています。これは、シマンテックも監視を続けている、ある攻撃について今年の 3 月に公開されたブログです。シマンテックは、この脅威に対して以下のウイルス対策定義を追加しました。
また、以下の IPS 定義も追加しています。
この攻撃で確認された感染経路はスピア型フィッシングメールで、特別に細工されたリッチテキスト形式(RTF)のファイルが添付されています。悪質な RTF ファイルで悪用が確認されているのは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)と Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性(CVE-2010-3333)ですが、どちらも Microsoft Office などの Microsoft 製品についてパッチがすでに公開されている脆弱性です。同様の動作は、Microsoft Word を悪用して投下されるファイルでも確認されており、これは Trojan.Mdropper として検出されます。
悪用に成功するとマルウェアが投下され、そのマルウェアがさらに別のファイルを投下したうえで標的から情報を盗み出し、攻撃者のコマンド & コントロール(C&C)サーバーに送信します。シマンテック製品は、このスピア型フィッシングの Word 文書を Trojan.Mdropper として、投下されるファイルを Trojan.Travnet として検出します。
お使いのソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないようにしてください。標的型攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
W32.Virut に感染したシステムで W32.Waledac.D(Kelihos)のダウンロードが確認されたことを、少し前にこのブログでもご報告しました。シマンテックは Waledac の進化を何年も追い続けており、過去に実施された停止の試みに対してこのボットネットが非常に強い回復力を持っていることを確認しています。Waledac は従来、1 日に最大で 2000 通もの悪質な電子メールを送信するスパムボットネットとして知られてきました。
図 1. W32.Waledac.D のスパム
過去 2 カ月間で、Waledac の感染数はますます増えており、その感染の大部分は米国が起源であることが確認されています。
図 2. W32.Waledac.D に感染したコンピュータ数の多い上位 10 カ国
W32.Waledac.D に感染したコンピュータは、別のマルウェアも拡散していました。これは、当初 Backdoor.Tidserv として検出されていましたが、シマンテックの解析結果に基づいて、Trojan.Rloader の新しい亜種、Trojan.Rloader.B であることが確認されています。他の亜種と同様、Trojan.Rloader.B の主要機能もクリック詐欺が中心です。
図 3. Trojan.Rloader.B の攻撃手順
Trojan.Rloader.B は、被害者のコンピュータ上で最初に実行されたときに物理マシン上で実行されているかどうかを確認し、仮想マシン内で実行されていることがわかると自身を終了します。仮想マシンでは、ウイルス対策ソフトウェアやマルウェアの解析に利用できるツールが実行されていることがよくあるからです。次に、Trojan.Rloader.B は侵入先のホストに関する情報を収集し、コマンド & コントロールサーバーに送信して、侵入先のコンピュータを登録します。また、この段階で Windows のホストファイルを改ざんして、多くの有名な検索エンジンが、検索結果に埋め込まれたポップアップ広告を表示する悪質な IP アドレスにリダイレクトされるようにします。
さらに、Trojan.Rloader.B は Mozilla Firefox と Internet Explorer の両方を標的として、検索要求が http://findgala.com にリダイレクトされるようにブラウザの設定を変更します。このとき同時に、感染したコンピュータ上では広告も表示されます。
シマンテックが調査を進める中で、2 つ目のクリック詐欺コンポーネントを投下する Trojan.Rloader.B の存在が判明しました。以前のブログで説明したように、以前は Trojan.Spachanel として検出されていたコンポーネントです。Trojan.Spachanel は実行されると、侵入先のコンピュータでブラウザにポップアップ広告を読み込ませる JavaScript をインジェクトします。
図 4. ポップアップ広告の例
シマンテックは、Rloader の新しい亜種を Trojan.Rloader.B として検出する定義を追加しました。Spachanel のクリック詐欺モジュールを Trojan.Spachanel として検出する定義も更新しています。今後も Waledac ボットネットの活動の監視を続けつつ、適切な保護対策を提供していく予定です。ボットネット感染に対する万全の備えとして、シマンテックの最新技術(英語)をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
As we discussed earlier this week, reporting and resolving a cyberbullying incident will vary depending on the evolution of your community’s awareness and understanding of the issue. However, this list provides first steps to help stop cyberbullying online if you see it. Save the evidence. Print copies of messages and websites. Use the save feature on instant messages Read more…
Cyberbullying is a public health issue that continues to go through its own kind of “social fog” as schools, parents, students, and law enforcement attempt to establish some common guidelines in dealing with episodes of online harassment. Some schools and local police departments have met cyberbullying head-on. They’ve implemented a clear process to handle cyber Read more…