Tag Archives: Infostealer.Bancos

????????? 2014 FIFA ???????????????????

      No Comments on ????????? 2014 FIFA ???????????????????

寄稿: Sean Butler

サッカーワールドカップ開催の年が始まった今、この世界的イベントに関連するキャンペーンが急増するのは当然のことでしょう。ワールドカップをめぐる興奮と熱狂を当て込んで、マーケティングや販促のキャンペーンが盛んになるものと予想されます。正規のマーケティングメールや販促メールに混じって、無料チケットを約束するメールや、コンテストや宝くじで新車が当選したと謳うメッセージが届くかもしれません。

嘘みたいなうまい話ですが、嘘みたいだという部分だけは的を射ています。

詐欺師は、今年の 6 月にブラジルで開催される FIFA ワールドカップに伴う熱狂を悪用しようと待ち構えています。万一にも詐欺に引っかかってしまうと、深刻な事態に陥りかねません。詐欺の被害者として銀行口座を空っぽにされてしまうだけでなく、コンピュータにマルウェアを仕掛けられてしまう恐れもあります。このマルウェアは、トロイの木馬をダウンロードしてユーザーの個人情報を盗み出す可能性もあれば、さらにはコンピュータに侵入してボットネットに組み込む機能まで備えているかもしれません。

シマンテックはすでに、FIFA ワールドカップに関連する詐欺メールをいくつか確認しています。シマンテックが発見した最初のサンプルは、FIFA ワールドカップを餌にしてマルウェアへのリンクを含む電子メールです。

この電子メールのヘッダーは以下のとおりです。

差出人: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@<ドメイン名>.com

件名: Copa do Mundo FIFA 2014

このヘッダーを翻訳すると次のようになります。

差出人: Congratulation you were the winner of a pair of tickets(ペアチケットの当選おめでとうございます) atendimento.promo5885631@<ドメイン名>.com

差出人: FIFA World Cup 2014(2014 FIFA ワールドカップ)

World Cup 2014 1 edit.png

図 1. FIFA ワールドカップに関連するマルウェア攻撃メール

この電子メールを翻訳すると以下のような文面になります。

You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!(2014 FIFA ワールドカップブラジル大会のペアチケットが当選しました!)

Print your e-Ticket copy and collect the ticket from the ticket center in your city(電子チケットを印刷して、お近くのチケットセンターでチケットをお受け取りください)

Print Ticket(チケットを印刷)

Check out the address of the ticket center in your city here(お近くのチケットセンターの住所確認はこちら)

このメールを受信したユーザーは、リンクをクリックして試合のチケットを印刷するよう促されます。ところが、このリンク先は eTicket.rar というファイルをダウンロードする悪質な URL になっていて、このファイルに eTicket.exe という名前の実行可能ファイルが圧縮されています。

World Cup 2014 2 edit.png

図 2. リンクをクリックすると悪質なファイルがダウンロードされる

次に、thanks.exe という名前のファイル(Infostealer.Bancos)が以下の場所に投下され、Windows を起動するたびに実行されます。

Programs/Startup/thanks.exe

このトロイの木馬はバックグラウンドで動作を続けながら、セキュリティ対策をすり抜け、金融口座などの個人情報を盗み出してログに記録し、後でリモートの攻撃者にそのデータを送信します。このマルウェアは、ブラジルの金融機関を標的にするようにカスタマイズされていることも確認されました。

電子メール内で参照されているすべての Web ページについてウイルスなどの脅威がないかどうかを確認するシマンテックの「リンク追跡」技術によって、URL の最後に含まれるマルウェアが正しく識別されるので、シマンテック製品をお使いのお客様は、この攻撃からすでに保護されています。次に検出定義が作成され、異なる URL だが同じマルウェアにつながる別のリンクを含む電子メールが今後見つかった場合には、感染しているのと同じように扱って検疫処理されます。

別の詐欺では、CIELO Brazil の偽広告が利用されています。CIELO 社は、ブラジルでクレジットカードとデビットカードを扱っている企業です。

World Cup 2014 3 edit_0.png

図 3. 2014 FIFA ワールドカップに関連するフィッシングメール

この電子メールを翻訳すると以下のような文面になります。

Congratulations, you have been chosen to take part in the Cielo Cup 2014.(おめでとうございます。2014年 シエロカップの参加資格に当選しました)

To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,(2014 ワールドカップを宣伝するために、20,000 レアル相当の抽選に登録してください)

Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)(チケットと、2014 ワールドカップ開催期間中の豪華宿泊券のほか、さらに走行距離 0 km のフィアットドブロが当たるかも(原文ママ))

Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.(さあ、今すぐお買い上げを! 今すぐ登録すれば、追加のご負担なくこの広告の特典をご利用いただけます)

Join this Mega Promotion and compete for these Super Prizes.(このメガ特典に参加して、特別プレゼントを手に入れよう)

Click here to unlock your promo code(プロモーションコードの申請はこちらをクリック)

[Click Here](ここをクリック)ボタンをクリックすると、ユーザーは以下のリンクにリダイレクトされます。

http://cielobrasil2014l.fulba.com/[削除済み]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html

リダイレクト先の Web ページでは、ユーザー名、生年月日、ブラジルの納税者番号(CPF)を入力するよう求められます。

World Cup 2014 4 edit.png

図 4. 偽装された Web ページで個人情報を要求される

要求どおりに情報を入力すると、今度は図 5 のようなページにリダイレクトされ、銀行口座情報が要求されます。

World Cup 2014 5.png

図 5. 偽装された Web ページで銀行口座情報を要求される

さらに詳しく調べたところ、このフィッシング詐欺で使われている conteudo.casavilaverde.com というドメインは、ハッキングされたものであることが判明しました。

World Cup 2014 6 edit.png

図 6. ハッキングされてフィッシング詐欺に使われているドメイン

最後に挙げる 3 つ目のサンプルは、ナイジェリア詐欺です。

World Cup 2014 7.png

図 7. FIFA ワールドカップを餌にした詐欺メール

この電子メールには、大手ブランドが協賛する宝くじと称するファイルが添付されています。最終的にユーザーの個人情報が要求される点は変わりません。また、この電子メールは正規の内容であると見せかけようとしていますが、これまでに紹介した他のサンプルに比べると、いかにも素人然としています。メール本文には画像も URL なく、Word 文書が添付されているだけというところが、誰の目から見ても疑わしい作りです。

シマンテックの高度な監視システムでこれらの詐欺メールは識別されているため、お客様に届くことはありません。

最初の 2 つのサンプルはポルトガル語が書かれ、ブラジル在住のユーザーが標的になっていましたが、カスタマイズして別の国や地域、他の言語に変更するのはごく簡単です。世界的なサッカー人気を考えれば、この手のスパムメールに多くのユーザーが引っ掛かってしまう可能性はあるかもしれません。

世界的なイベントは、興味や関心を持つ人々の数が多いことから潜在的な被害者数も多くなるため、詐欺師にとっては大きな稼ぎのチャンスです。そのため、こうした詐欺は 2014 ワールドカップが近づくほど増えてくるものとシマンテックは予測しています。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

詐欺師の手口に騙されないように、嘘のようなうまい話の場合は特にご注意ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Estafadores Cibernéticos Inician Campañas Relacionadas con el Mundial de Brasil 2014

Estamos iniciando el año en que se jugará el Mundial de futbol y es natural que en los siguientes meses veamos varias campañas relacionadas con este evento. Habrá mucho marketing y promociones asociadas con el entusiasmo y el interés que genera el  evento. Entre todo el marketing y correos electrónicos promocionales legítimos, podríamos recibir correos con premios prometedores como entradas gratuitas o notificaciones de la lotería diciéndonos que hemos  ganado un automóvil, por ejemplo.

Si piensa que suena demasiado bueno para ser verdad podría estar en lo cierto.

Los estafadores trataran de aprovecharse del entusiasmo vinculado con la Copa Mundial que se llevará a cabo en Brasil en junio y las consecuencias de que los usuarios sean víctimas de un fraude podrían ser graves. Los estafadores no solo pueden vaciar una cuenta bancaria sino que también podrían llenar de malware nuestra computadora. Esto puede implicar el robo de datos personales al descargar un Troyano o comprometer nuestro equipo y hacerlo parte de un Botnet.

En los últimos días, Symantec ha detectado varios correos fraudulentos relacionados con el Mundial de futbol, a continuación los detalles.

El primer ejemplo de fraude que Symantec identificó es un correo electrónico similar al que mostramos a continuación, el cual contiene un vínculo a un código malicioso:

Versión en portugués:

De: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@Domain.com

Asunto: Copa do Mundo FIFA 2014

fifa-1.png

Figura 1. Traducción del encabezado del correo electrónico con código malicioso (malware)

fifa-2.png

Figura 2. Ataque de código malicioso relacionado con el Mundial de la FIFA

fifa-3.png

Figura 3. Traducción del contenido del correo electrónico con malware

Se invita al usuario a hacer clic en la liga para imprimir el boleto al partido.

Pero, la liga lleva a un URL malicioso que descarga un archivo adjunto llamado eTicket.rar y  que contiene el programa ejecutable: eTicket.exe, como se muestra en la imagen a continuación.

fifa-4.png

Figura 4. Imagen del archivo adjunto (malware) que se descarga al hacer clic en la liga

Al ejecutarlo, se instala el archivo thanks.exe en el directorio de Programas/Inicio y se activa un Troyano en constante evolución Infostealer.Bancos y ese archivo continuará funcionando en segundo plano sin que el usuario lo note. Luego, tratará de evadir las medidas de seguridad, robar información financiera confidencial, registrar los datos recolectados y finalmente los enviará al atacante remoto. También hemos descubierto que el malware está dirigido especialmente para las  instituciones financieras brasileras.

Los clientes de Symantec están protegidos contra este ataque gracias a la tecnología de “Seguimiento de vínculo” (‘Link following’), que revisa todas las páginas de Internet referidas en un correo electrónico en busca de virus u otras amenazas, lo que permite identificar el malware en el URL incluido en el mensaje. A partir de esto, se creó la detección para que en el futuro los correos que contuvieran diferentes ligas a este malware, sean reconocidos como infectados y puestos en cuarentena.

Otro ejemplo de engaños en Internet relacionados con este tema es una supuesta promoción de la marca CIELO en Brasil. CIELO es un operador de tarjetas de crédito y débito en Brasil.

fifa-5.png

Figura 5. Phishing por correo electrónico relacionado con el Mundial 2014

El mensaje traducido es el siguiente:

fifa-6.png

Figura 6. Traducción del contenido del contenido del correo de phishing

Al dar clic en la liga dentro del correo con el siguiente URL:

<http://conteudo.casavilaverde.com/logs/copa2014/index.php?%email%>

Se redirige al usuario a:
 
http://cielobrasil2014l.fulba.com/copa,fuleco.dll/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html
  
Entonces la página de Internet solicita al usuario ingresar su nombre, fecha de nacimiento y el número de identificación fiscal de Brasil (Cpf).

fifa-7.png

Figura 7. El URL del phishing abre la página de Internet alterada y solicita datos personales.

Al proporcionar la información, el usuario es dirigido a la página que mostramos abajo que solicita los datos bancarios de los usuarios.

fifa-8.png

Figura 8. La página de Internet alterada solicita datos bancarios.

En un análisis más profundo encontramos que el dominio conteudo.casavilaverde.com está hackeado y se muestra como:
 

fifa-9.png

Figura 9. El dominio del URL en el correo está hackeado

Finalmente, el tercer ejemplo detectado por Symantec es una nueva versión de estafa nigeriana con los siguientes encabezados:

De: “FIFA 2014 World Cup Award”<globalpromotions@ @[domain].ru>

Asunto: Window Live Games 2014 FIFA World Cup

fifa-10.png

Figura 10. Adjunto del ejemplo de fraude nigeriano relacionado con el Mundial

El correo incluye un archivo adjunto que supuestamente es un premio patrocinado por grandes marcas y para obtenerlo se solicita al usuario información personal. El correo también contiene una nota que trata de parecer legítima pero inmediatamente se advierte que es algo amateur en comparación con los otros dos ejemplos mencionados. No hay imágenes ni URL en este correo y el hecho de que contenga un adjunto Word hace que resulte sospechoso.

Los sistemas de monitoreo avanzados de Symantec pudieron identificar los tres ejemplos de estafas electrónicas presentadas en este blog protegiendo así a nuestros clientes.

Mientras que los primeros dos correos están redactados en portugués dirigidos a personas en Brasil, los correos no deseados pueden personalizarse fácilmente por regiones, países e idiomas, teniendo en cuenta el interés que existe actualmente en el futbol.

Los eventos mundiales pueden ser muy lucrativos para los estafadores ya que tienen el potencial de estafar a más cantidad de personas debido al interés sobre dichos eventos. Como consecuencia, Symantec espera que la cantidad de correos fraudulentos se incremente a medida que se acerca la fecha del evento.

Como medida preventiva para los usuarios recomendamos no compartir información personal o confidencial. Debido al riesgo de pérdida financiera y de información confidencial en juego, Symantec aconseja a los usuarios estar alerta y seguir los siguientes consejos de seguridad:

  • Ser precavido al recibir correos no solicitados, inesperados o sospechosos
  • Evitar dar clic en ligas incluidas en correos sospechosos, no solicitados o inesperados
  • Evitar abrir archivos adjuntos en correos no solicitados
  • Mantener actualizado el software de seguridad
  • Actualizar las firmas antispam de forma periódica.

Symantec constantemente monitorea los ataques de spam para asegurarse de informar a los usuarios con información sobre las más recientes amenazas.

¡Que no te tomen fuera de lugar cuando se trata de ofertas y promociones, especialmente aquellas que parecen muy buenas para ser verdad!

 

Os fraudadores e golpistas digitais iniciam suas campanhas para a Copa do Mundo da FIFA 2014

Com aproximidade da Copa do Mundo da FIFA 2014 é natural que muitas campanhas de marketing e promoções relacionadas a este evento global sejam veiculadas para aproveitar o entusiamo deste momento. Porém, entre todos os e-mails e mensagens legítimas, muitos golpes online também já comecaram a ocorrer, com promessas de entradas grátis para os jogos e até um carro ao vencedor de um sorteio.

Os fraudadores e golpistas digitais já iniciam seus ataques e exploram o tema ligado à Copa do Mundo da FIFA no Brasil. As ramificações para o usuário ser uma vítima pode ter consequências de longo alcance. Não só o internauta pode ter sua conta bancária esvaziada pelos fraudadores, mas também infectar seu computador com ameaças, como malware. O que poderia acontecer, por exemplo, após a instalação dessa ameaça é o golpista roubar dados e informações pessoais do proprietário da máquina por meio do download de um Trojan, ou comprometer o computador e torná-lo parte de um Botnet.

A Symantec identificou vários emails maliciosos sobre a Copa do Mundo da FIFA. Na primeira amostra o golpe contém um link para um malware.

World Cup 2014 1 edit.png

Figura 1 – E-mail contendo malware relacionado à Copa do Mundo FIFA 2014

Após o clique, o usuário é direcionado a uma URL maliciosa, que faz o download do eTicket.rar (que abriga o eTicket.exe – Figura 2). Ao ser executado, o arquivo desencadeia o trojan Infostealer.Bancos, que instala o thanks.exe no diretório /Programas/Startup. 

Este arquivo, que irá tentar escapar de medidas de segurança, rouba informações financeiras e confidenciais, registra os dados colhidos e os envia para um criminoso remoto. Também foi descoberto que o malware foi personalizado para atingir instituições financeiras brasileiras.

World Cup 2014 2 edit.png

Figura 2 – Imagem da tela após clicar no hiperlink com malware

Outro exemplo de ataque é uma suposta fraude que utiliza a marca CIELO como chamariz para uma promoção falsa, que leva a uma página de phishing.

World Cup 2014 3 edit_0.png

Figura 3 – Email de phishing relacionado à Copa do Mundo FIFA 2014

Ao clicar no botão da promoção, a página de phishing

 http://conteudo.casavilaverde.com/logs/copa2014/index.php?%email% é redirecionada para <http://cielobrasil2014l.fulba.com/copa,fuleco.dll/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html> e solicita o nome, data de nascimento e CPF do usuário.

World Cup 2014 4 edit.png

Figura 4 – A URL abre uma página da web falsa solicitando dados pessoais

Após fornecer essas informações, uma nova página (Figura 5) é aberta, que solicita os dados bancários do usuário.

World Cup 2014 5.png

Figura 5 – URL solicita os dados de serviços bancários

Em uma análise mais aprofundada, a Symantec descobriu que o domínio conteúdo.casavilaverde.com foi hackeado e abre como na Figura 6.

World Cup 2014 6 edit.png

Figura 6 – Domínio da URL hackeado

Há, também, um golpe nigeriano, que traz um anexo que parece estar relacionado a um sorteio patrocinado por grandes marcas (Figura 7). Para parecer legítimo, esse e-mail contém um aviso, mas, por não conter imagens ou URLs e por ter apenas um documento do Word anexo, esse golpe parece ser mais simples do que os demais.

World Cup 2014 7.png

Figura 7 – Exemplo de golpe nigeriano relacionado à Copa do Mundo FIFA 2014

Eventos globais desse porte podem ser muito lucrativos para os golpistas devido ao aumento do número de interessados no assunto. Até a Copa do Mundo, diversas tentativas para atrair usuários e adquirir informações sensíveis e confidenciais irão ocorrer. Os e-mails de Spam, por exemplo, pode ser personalizados para diferentes países e regiões. Para evitar ser vítima desses golpes, a Symantec aponta as seguintes práticas de segurança online:

  • Não compartilhe informações pessoais e confidenciais.
  • Esteja atento ao clicar em qualquer link suspeito ou responder a qualquer oferta, especialmente as que parecem muito atrativas.
  • Certifique-se de usar fontes autorizadas para fazer transações e procurar dados relacionados à Copa do Mundo.
  • Utilize software de segurança original e atualizado em seus equipamentos conectados à Internet, como o  Norton Internet Security.

Fraudsters and Scammers Kick Off Their Campaigns for the 2014 FIFA World Cup

Contributor: Sean Butler

As it’s the start of a Football World Cup year it’s only natural that we will see many campaigns in relation to this global event. There will be many marketing and promotional campaigns taking advantage of the hype and excitement surrounding this event. Amongst all of the legitimate marketing and promotion emails, you may also receive emails promising anything from free match tickets, to competitions and lottery prizes stating that you have won a car.

Sound too good to be true? Well, you would be right in thinking that!

Fraudsters will be looking to exploit the enthusiasm that comes with the FIFA World Cup, which will be taking place in Brazil this June. The ramifications of you being scammed could be very serious indeed. Not only could you become a victim of fraud by having your bank account emptied by these fraudsters, you could also end up with malware on your computer. This malware could do anything from stealing your personal details by downloading a Trojan, to compromising your computer and making it part of a botnet.

Symantec has already spotted several FIFA World Cup related scam emails. The first scam sample Symantec discovered, relating to the FIFA World Cup, is an email that contains a link to malware.

The email has the following headers:

From: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@Domain.com

Subject: Copa do Mundo FIFA 2014

This email header can be translated as:

From: Congratulation you were the winner of a pair of tickets atendimento.promo5885631@Domain.com

From: FIFA World Cup 2014

World Cup 2014 1 edit.png

Figure 1. Malware attack email related to FIFA World Cup

This email can be translated as:

You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!

Print your e-Ticket copy and collect the ticket from the ticket center in your city

Print Ticket

Check out the address of the ticket center in your city here

The recipient is enticed to click the on the link and print the match tickets. However, the link leads to a malicious URL that downloads the file eTicket.rar, which contains an executable file named eTicket.exe.

World Cup 2014 2 edit.png

Figure 2. Clicking on the link leads to malicious download

Next, a file named thanks.exe (Infostealer.Bancos) is dropped in the following location so that it runs every time Windows starts:

Programs/Startup/thanks.exe

The Trojan will continue to run in the background and try to evade security measures, steal confidential financial information, log the stolen data, and send it to a remote attacker at a later time. We have also discovered that the malware is customized to target Brazilian financial institutions.

Symantec customers would have been protected against this attack because our ‘Link following’ technology, which checks all Web pages referenced within an email for viruses and other threats, correctly identified the malware at the end of the URL. Detection was then created so that future emails containing different links to this malware will be treated as though they are infected and then quarantined.

Another scam involves a fraudulent CIELO Brazil promotion. CIELO is a Brazilian credit and debit card operator.

World Cup 2014 3 edit_0.png

Figure 3. Phishing email related to FIFA World Cup 2014

This email can be translated as:

Congratulations, you have been chosen to take part in the Cielo Cup 2014.

To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,

Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)

Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.

Join this Mega Promotion and compete for these Super Prizes.

Click here to unlock your promo code

If the recipient clicks the “Click Here” button, they are redirected to the following URL:

http://cielobrasil2014l.fulba.com/[REMOVED]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html

The webpage asks for a username, date of birth, and a Brazilian tax registration number (CPF).

World Cup 2014 4 edit.png

Figure 4. Spoofed Web page asking for personal credentials

On providing the required information, the user is sent to the page shown in Figure 5, which asks for the user’s banking credentials.

World Cup 2014 5.png

Figure 5. Spoofed Web page asking for banking credentials

On further analysis, we found that the domain conteudo.casavilaverde.com used in the phishing scam had been hacked.

World Cup 2014 6 edit.png

Figure 6. Hacked domain used in phishing scam

Finally, the third example is a Nigerian scam.

World Cup 2014 7.png

Figure 7. Nigerian FIFA World Cup scam email

The email contains an attachment that claims to be about a lotto sponsored by major brands. The scam ultimately asks the recipient for personal information. The email also contains a notice to try and look legitimate, but this looks amateurish in comparison to the other examples referenced in this blog. There are no images or URLs contained within the email and the fact that it only contains an attached Word document would make anyone suspicious.

Symantec’s advanced monitoring systems were able to identify the above scam emails and protect our customers from receiving them.

While the first two example emails are composed in Portuguese and aimed at people in Brazil, they can easily be customized for different regions, countries, and languages. Considering the influence football has across the globe, such spam mail could potentially trick many people.

Global events can be very lucrative for scammers as they have the potential to scam more victims by appealing to peoples’ interest and curiosity. As a consequence, Symantec expects such scams to increase as we get closer to the 2014 World Cup.

Symantec advises users to be on their guard and to adhere to the following security best practices:

  • Exercise caution when receiving unsolicited, unexpected, or suspicious emails
  • Avoid clicking on links in unsolicited, unexpected, or suspicious emails
  • Avoid opening attachments in unsolicited, unexpected, or suspicious emails
  • Keep security software up-to-date
  • Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

Don’t be caught offside when it comes to special offers, especially ones that look too good to be true!