Black Friday and Cyber Monday have come and gone, but the gift-buying season continues. While most online retailers have sales on their mind, the holidays are also a crucial time for online security. As we’ve discussed before, attacks against eCommerce websites happen year round, but merchants and consumers have significantly more to lose during the Read more…
We all know about Scams, right? According to Wikipedia, ‘Scam is an intentional deception made for personal gain or to damage another individual through email’. So we are absolutely clear that these are unsolicited e-mails that are sent by cyber crooks to get our personal details like name, birthday, bank account number, passwords, credit card Read more…
It is no secret that I am a bit of a klutz. I lose things, drop things and misplace things on a daily basis. And nothing bears the brunt of this more than my mobile phone. I am on my third phone so far this year. I lost the first and dropped the second! Just Read more…
Severity Rating: Revision Note: V18.0 November 13, 2012): Added the following Microsoft Security Bulletin to the Updates relating to Insecure Library Loading section: MS12-074, “Vulnerabilities in .NET Framework Could Allow Remote Code Execution.”Summa…
Severity Rating: Revision Note: V18.0 November 13, 2012): Added the following Microsoft Security Bulletin to the Updates relating to Insecure Library Loading section: MS12-074, “Vulnerabilities in .NET Framework Could Allow Remote Code Execution.”Summa…
Revision Note: V18.0 November 13, 2012): Added the following Microsoft Security Bulletin to the Updates relating to Insecure Library Loading section: MS12-074, “Vulnerabilities in .NET Framework Could Allow Remote Code Execution.”
…
To everything there is a season & a time to every purpose under the heaven- A time to kill and a time to heal, a time to tear down and a time to build Most of us have grown up listening to this very popular passage from Ecclesiastes, which wisely reminds us not to hurry through Read more…
Recientemente, los phishers han tomado un gran interés por los temas relacionados con el futbol. Después de que hace unas semanas Symantec descubriera algunos engaños y estafas relacionadas con la FIFA World Cup de 2014, ahora los ciberatacantes pusieron sus ojos en el futbolista Lionel Messi.
A finales de septiembre de 2012, Symantec observó ataques de phishing asociados con temas de redes sociales y en varios de ellos se puede ver que aparece Lionel Messi. Los sitios de phishing identificados estaban hospedados en servicios de hosting gratuito en la web.
En el primer ejemplo, en la imagen de fondo de pantalla del sitio de phishing se podía ver a Lionel Messi y el tema que se promovía hacía alusión al club de fútbol FC Barcelona, a diferencia del sitio legítimo en donde no se incluye un tema. Así, el sitio solicitaba a los usuarios que iniciaran su sesión con el fin de obtener acceso a la página de Messi en dicha red social. En este caso, esto resultó ser sólo una estrategia y no representaba ganancia económica para los usuarios de la página de phishing ya que, una vez que el usuario daba su nombre y contraseña, el sitio de phishing los redirigía al sitio legítimo dentro de la red social en cuestión.
En otro ejemplo, se identificó un sitio de phishing que contiene temas atractivos denominados “Color”. El mensaje de la página de phishing informaba a los usuarios que podían cambiar el fondo de pantalla o tema de su página de perfil en la red social en cuestión con solo introducir sus datos para inicio de sesión. En este caso, los usuarios víctimas de estos sitios de phishing, le habrían dado a los estafadores la oportunidad de robarles con éxito y de manera sencilla su información de usuario y contraseña, misma que podría usarse en un caso de robo de identidad.
Symantec recomienda a los usuarios de Internet seguir las mejores prácticas para evitar ser víctima de ataques de phishing:
• No dar clic en enlaces sospechosos incluidos en correos electrónicos.
• Evite proporcionar información personal sensible al responder un correo electrónico
• Nunca ingrese información personal sensible en un pop-up
• Al introducir información personal o financiera, asegúrese de que el sitio web se codifica con un certificado SSL verificando el candado en la esquina inferior derecha, el ‘https’, o la barra de direcciones en color verde.
• Actualizar frecuentemente su software de seguridad para estar protegido de las amenazas más novedosas
*Gracias a Avdhoot Patil por su ayuda con esta investigación.
昨年シマンテックは、Windows Help ファイル(.hlp)が標的型攻撃の攻撃経路として悪用されていることについて報告しました。シマンテックの遠隔測定によると、製造業や政府機関に対する標的型攻撃で、この攻撃経路が使われる件数が増えてきています。シマンテックは、この標的型攻撃で使われている不正な WinHelp ファイルを Bloodhoud.HLP.1 および Bloodhound.HLP.2 として検出します。
図 1. 悪質な .hlp ファイルが含まれている ZIP 形式の添付ファイル
攻撃経路として WinHelp ファイルを使う手口が増えている一因は、攻撃者が脆弱性を悪用せずにコンピュータに侵入できることにあります。攻撃者はソーシャルエンジニアリングを使って被害者を欺き、標的型の電子メールに添付した Windows ヘルプファイルを開かせようとします。Windows ヘルプファイルには Windows API を呼び出す機能があり、これを利用すればシェルコードの実行と悪質なペイロードファイルのインストールが可能になります。この機能は脆弱性の悪用ではなく、本来の仕様です。Microsoft 社はこの機能がセキュリティ上問題であることをすでに認識しており、2006 年からは WinHelp のサポートを段階的に廃止しています。しかし、こうした段階的な措置を経てもなお、WinHelp が攻撃者にとって有力な標的型攻撃の手段であることは変わっていません。
図 2. Bloodhound.HLP.1 と Bloodhound.HLP.2 の検出分布図
この攻撃経路による被害は今も増え続けていますが、この手法を使う主な 2 つの脅威を特定しました。Trojan.Ecltys と Backdoor.Barkiofork です。どちらも、製造業や政府機関に対する標的型攻撃に使用が限定されていることがわかっています。
いつものように、ウイルス定義を更新するとともに、この手の脅威に対する最適な保護を得るためにシマンテックの最新技術をお使いいただくことをお勧めします。前述のような脅威に感染した疑いがあり、さらにサポートが必要な場合には、シマンテックまでお問い合わせください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
以前、W32.Flamer のコマンド & コントロール(C&C)サーバーに関する共同解析についての記事でお伝えしたように、このサーバー上のコードにはいくつかの C&C サーバープロトコルが存在します。確認されたプロトコルのひとつは W32.Flamer に関連していることがわかりましたが、残りのプロトコルについては今までに使用例が確認されておらず、これらのプロトコルを使うサンプルも入手できていません。
図 1. W32.Flamer C&C サーバー上に存在するプロトコル
サンプルが長いあいだ未確認のままなのは、極度の標的型の性質のためですが、さらにもう 1 つ別のプロトコルが特定され、実際に使われていることも確認されました。このプロトコルは、W32.Flamer から独立して動作できるモジュール用のものです。
シマンテックは、この脅威に対する検出定義を W32.Flamer.B として追加しました。
サンプルをご提供いただいたカスペルスキー社に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
