Tag Archives: malware

Regin: Una herramienta de ciberespionaje que permite vigilar sigilosamente

Hacker Medic November 23, 2014 No Comments

Esta avanzada herramienta de espionaje muestra un grado de competencias técnicas que no se ven con frecuencia y ha sido usada en operaciones de espionaje con foco en gobiernos, operadores de infraestructura, negocios, investigadores e individuos específic

Twitter Card Style:

summary

Una malware avanzado conocido como Regin, se ha utilizado en campañas de espionaje sistemático contra una serie de objetivos internacionales desde al menos 2008. Regin es una pieza compleja de software malicioso del tipo backdoor cuya estructura muestra un grado de competencia técnica que no es muy común. Permite personalizar una amplia gama de capacidades en función del objetivo, ofrece a sus controladores un marco de gran alcance para la vigilancia de masas y se ha empleado en operaciones de espionaje contra organizaciones gubernamentales, operadores de infraestructura, empresas, investigadores y personas privadas.

Es probable que su desarrollo tomara meses, si no es que años, para ser completado y sus autores han hecho todo lo posible para cubrir sus pistas. Sus capacidades y el nivel de recursos detrás de Regin, indican que es una de las principales herramientas de ciberespionaje utilizadas por un Estado-Nación.

Como se indica en un nuevo informe de Symantec[DOB1] , Backdoor.Regin [DOB2] es una amenaza de múltiples etapas y cada una está oculta y cifrada, con la excepción de la primera, en la que se inicia una cadena dominó de descifrado y se carga cada etapa posterior, dando un total de cinco etapas. Cada etapa individual proporciona poca información sobre el paquete completo. Sólo mediante la adquisición de las cinco etapas es posible analizar y comprender la amenaza.

Figura 1. Las 5 etapas de Regin

Regin también utiliza un enfoque modular, lo que permite que se carguen o incluyan características personalizadas adaptadas al objetivo. Este enfoque modular se ha visto en otras familias de malware sofisticado tales como Flamer y Weevil (La Máscara), mientras que la arquitectura de carga multi-etapa es similar a la observada en la familia de amenazas Duqu/Stuxnet.

Línea de tiempo y perfil del objetivo

Las infecciones Regin se han observado en una variedad de organizaciones, entre 2008 y 2011, tras lo cual, se retiró abruptamente. Una nueva versión del malware resurgió a partir de 2013. Los objetivos incluyen empresas privadas, entidades gubernamentales e institutos de investigación. Mientras que casi la mitad de todas las infecciones se produjeron en direcciones que pertenecen a los proveedores de servicios de internet (ISPs), los objetivos de estas infecciones eran miembros de esas empresas. Del mismo modo, los ataques a empresas de telecomunicaciones parecen estar diseñados para tener acceso a las llamadas que se enrutan a través de su infraestructura.

Figura 2. Infecciones confirmadas de Regin por sector

Las infecciones son también geográficamente diversas, habiendo sido identificadas en diez países diferentes.

Figura 3. Infecciones confirmadas de Regin por país

Vector de la infección y cargas útiles

El vector de la infección varía entre objetivos y ningún vector reproducible se ha encontrado al momento de la escritura. Symantec cree que algunos objetivos pueden ocultados para visitar versiones falsas de sitios web conocidos y la amenaza puede ser instalada a través del navegador web o mediante la explotación de una aplicación. En una computadora, los archivos de registro mostraron que Regin se originó de Yahoo! Instant Messenger, a través de una secuencia de mandos sin confirmar.

Regin utiliza un enfoque modular, lo que da flexibilidad a los operadores de estas amenazas, ya que pueden cargar características personalizadas adaptadas a cada objetivo individual cuando sea necesario. Algunas cargas útiles personalizadas son muy avanzadas y exhiben un alto grado de conocimientos en sectores especializados, una prueba más del alto grado de recursos de los que disponen los autores de Regin.

Hay docenas de cargas útiles Regin. Las capacidades estándar de la amenaza incluyen varias características de acceso remoto troyano (RAT) tales como: captura de pantalla, control de las funciones del mouse, robo de contraseñas, monitoreo del tráfico de la red y la recuperación de archivos borrados.

Más específicos y avanzados módulos de carga útil también fueron descubiertos, tal es el caso de un monitoreo del tráfico del servidor web Microsoft IIS y un rastreador de tráfico de la administración del control de estaciones base de telefonía móvil.

Precauciones

Los desarrolladores de Regin ponen un considerable esfuerzo para hacerlo altamente discreto. Su carácter discreto significa que potencialmente puede ser utilizado en las campañas de espionaje que duran varios años. Incluso, cuando se detecta su presencia, es muy difícil determinar lo que está haciendo. Symantec sólo fue capaz de analizar las cargas útiles después de descifrar archivos ejemplo.

Tiene varias características “de precaución”. Éstas incluyen capacidades anti-forenses, un sistema virtual hecho a la medida de encriptado de archivos (EVFS) y cifrado alterno en la forma de una variante de RC5, que no se usa comúnmente. Regin utiliza múltiples sofisticados medios para comunicarse secretamente con el atacante, incluso a través de ICMP/ping, la incrustación de comandos en las cookies de HTTP, TCP personalizado y protocolos UDP.

Conclusiones

Regin es una amenaza altamente compleja que se ha utilizado en recolección sistemática de datos o campañas de recopilación de inteligencia. El desarrollo y el funcionamiento de este malware han requerido una importante inversión de tiempo y recursos, lo que indica que detrás es probable que esté un Estado/Nación. Su diseño hace que sea muy adecuado para las operaciones de vigilancia persistentes y de largo plazo contra objetivos.

El descubrimiento de Regin destaca las grandes inversiones que se siguen haciendo en el desarrollo de herramientas para su uso en la recopilación de inteligencia. Symantec cree que muchos de los componentes de Regin permanecen sin ser descubiertos y pueden existir funciones y versiones adicionales. Un análisis adicional continúa y Symantec publicará cualquier actualización de futuros descubrimientos.

Otras lecturas

Indicadores para los administradores de seguridad e información técnica y detallada sobre Regin se puede encontrar en nuestro whitepaper – Regin: Top-tier espionage tool enables stealthy surveillance

Información de protección

Symantec detecta esta amenaza como Backdoor.Regin[DOB4] .

Whitepaper – Regin: Top-tier espionage tool enables stealthy surveillance

Regin: Ferramenta sofisticada de espionagem permite vigilância discreta

Hacker Medic November 23, 2014 No Comments

A ferramenta avançada de espionagem exibe um grau de competência técnica raramente visto e foi usada em operações contra governos, operadores de infraestrutura, empresas, pesquisadores e indivíduos.

Twitter Card Style:

summary

Um malware avançado conhecido como Regin foi utilizado em campanhas sistemáticas de espionagem contra uma variedade de alvos internacionais desde, pelo menos, 2008. Considerado um Cavalo de Tróia do tipo Backdoor, o Regin é um malware complexo, cuja estrutura exibe um grau de competência técnica raramente encontrado. Customizável através de uma ampla gama de capacidades, dependendo do alvo, ele oferece aos controladores um framework poderoso para vigilância em massa, e foi utilizado em operações de espionagem contra organizações governamentais, operadores de infraestrutura, empresas, pesquisadores e indivíduos.

É provável que seu desenvolvimento tenha consumido meses, ou até mesmo anos, até ser concluído, e seus autores se empenharam em apagar seus rastros. Suas capacidades e o nível dos recursos por trás do Regin indicam que ela é uma das principais ferramentas de ciberespionagem utilizadas por um Estado-nação.

Conforme destacado em um novo relatório técnico da Symantec, o Backdoor.Regin é uma ameaça de múltiplos estágios, e cada um deles está escondido e criptografado, com exceção do primeiro. A execução do primeiro nível inicia uma cadeia em dominó de decodificação e carregamento de cada estágio subsequente, em um total de cinco. E assim eles fornecem poucas informações sobre o pacote completo. Somente ao obter todos os cinco estágios é possível analisar e entender a ameaça.

Figura 1. Os cinco estágios do Regin

O Regin também utiliza uma abordagem modular, permitindo que carregue recursos customizados sob medida para o alvo. Esta abordagem modular foi vista em outros grupos sofisticados de malware, como Flamer e Weevil (The Mask), enquanto a arquitetura de carregamento em múltiplos estágios é semelhante à vista na família de ameaças Duqu/Stuxnet.

Linha do tempo e perfil do alvo

Infecções por Regin foram observadas em uma variedade de organizações entre 2008 e 2011, quando ele foi repentinamente recolhido. Uma nova versão do malware reapareceu em 2013. Entre os alvos estão empresas privadas, órgãos governamentais e institutos de pesquisa. E quase metade de todas as infecções foi dirigida a indivíduos e pequenas empresas. Ataques contra empresas de telecomunicações parecem projetados para obter acesso a ligações direcionadas ao longo de sua infraestrutura.

Figura 2. Infecções confirmadas por Regin por setor

As infecções também foram geograficamente variadas, tendo sido identificadas principalmente em dez países diferentes

Figura 3. Infecções confirmadas por Regin por país

Vetor de infecção e payloads

O vetor de infecção varia e nenhum vetor reprodutível foi encontrado até o momento. A Symantec acredita que alguns alvos podem ser enganados e levados a visitar versões falsas de sites conhecidos, além de a ameaça poder ser instalada através de um navegador ou pela exploração de uma aplicação. Em um computador, os arquivos de registro mostraram que o Regin foi originado no Yahoo! Instant Messenger através de uma exploração não-confirmada.

A ameaça utiliza uma abordagem modular, dando flexibilidade aos operadores, que podem carregar recursos customizados sob medida para alvos individuais, conforme necessário. Alguns payloads customizados são muito avançados e apresentam um alto grau de conhecimento em setores especializados, indicação maior do nível de recursos disponíveis aos autores do Regin.

Há dezenas de payloads do Regin. As capacidades padrão da ameaça incluem diversos recursos de Trojan de Acesso Remoto (RAT), como captura de imagens de tela, tomada de controle das funções de apontar e clicar do mouse, roubo de senhas, monitoramento do tráfego da rede e recuperação de arquivos apagados.

Módulos de payload mais específicos e avançados também foram descobertos, como um monitor de tráfego do servidor de web Microsoft IIS e um sniffer de tráfego da administração de controladores de estações base de telefonia móvel.

Furtivo
Os desenvolvedores do Regin empenharam esforços consideráveis para torná-lo extremamente discreto. Sua natureza discreta significa que pode potencialmente ser empregado em campanhas de espionagem com diversos anos de duração. Mesmo quando sua presença é detectada, é muito difícil determinar o que estava fazendo. A Symantec só foi capaz de analisar os payloads depois de decodificar arquivos de amostra.

Ele tem vários recursos “furtivos”. Entre eles, capacidades anti-forenses, um sistema de arquivo virtual criptografado sob medida (EVFS), e criptografia alternativa na forma de uma variação do RC5, que não é comumente usada. A ameaça usa diversas formas sofisticadas para se comunicar secretamente com o atacante, inclusive através de ICMP/ping, integrando comandos em cookies HTTP, e protocolos TCP e UDP customizados.

Conclusões
O Regin é uma ameaça extremamente complexa que foi utilizada em campanhas de coleta sistemática de dados e de inteligência. O desenvolvimento e a operação deste malware devem ter exigido investimentos significativos de tempo e recursos, indicando que um Estado-nação seja o responsável pelo malware. Seu design o torna perfeito para operações de vigilância persistentes, de longo prazo, contra os alvos.

A descoberta do Regin destaca como investimentos significativos continuam sendo feitos para o desenvolvimento de ferramentas para uso na coleta de inteligência. A Symantec acredita que muitos componentes da ameaça continuam desconhecidos e devem existir funcionalidades e versões adicionais. As análises adicionais continuam e a Symantec publicará quaisquer atualizações sobre futuras descobertas.

Leitura adicional

Indicadores de comprometimento para administradores de segurança e informações técnicas mais detalhadas podem ser encontrados em nosso relatório técnico – Regin: Top-tier espionage tool enables stealthy surveillance

Informações de proteção

Produtos Symantec e Norton detectam esta ameaça como Backdoor.Regin.

??: ??? ?? ??? ?? ??? ?? ?

Hacker Medic November 23, 2014 No Comments

지능적인 스파이 툴인 레긴은 매우 높은 수준의 전문 기술을 갖추고 정부, 기간 산업 기관, 기업, 연구 기관, 개인 사용자를 겨냥한 각종 스파이 작전에 사용되고 있습니다.

Twitter Card Style:

summary

지능적인 악성 코드 중 하나인 레긴(Regin)은 적어도 2008년부터 전 세계의 다양한 표적을 대상으로 한 조직적인 스파이 작전에 활용되어 왔습니다. 백도어 유형의 트로이 목마인 레긴은 매우 높은 수준의 기술 전문성을 갖춘 복잡한 악성 코드입니다. 레긴은 광범위한 기능을 활용하여 표적에 따라 맞춤 구현할 수 있으며, 관련 제어 권한을 가진 사용자에게 대규모 정탐을 가능케 하는 강력한 프레임워크를 제공하므로 정부 기관, 기간산업 기관, 기업, 연구 기관, 개인 사용자를 대상으로 한 스파이 작전에 이용되어 왔습니다.

레긴을 개발하는 데 수개월에서 많게는 수년이 소요되었을 것으로 보이며 개발자들이 관련 행적을 감추기 위해 많은 노력을 기울였을 것으로 추측됩니다. 레긴의 기능과 그를 뒷받침하는 리소스의 수준으로 미루어볼 때 이 악성 코드는 일부 국가 정부에서 사용되는 주요 사이버 첩보 수단 중 하나로 보입니다.

시만텍이 새로 발표한 기술 백서에서 소개하는 것처럼 Backdoor.Regin은 다단계 보안 위협으로, 첫 단계를 제외한 모든 단계가 암호화되고 숨겨져 있습니다. 첫 단계를 실행하면 후속 단계가 차례로 해독되고 로드되어 총 5단계가 수행되는데, 개별 단계만으로는 전체 패키지를 파악하는 것이 거의 불가능합니다. 이 보안 위협을 분석하고 이해하려면 다섯 단계 전체를 획득해야 합니다.

Page 2.png
그림 1. 레긴의 5단계

또한 레긴은 모듈 방식을 사용하므로 공격 표적에 따라 맞춤 기능을 로드하는 것이 가능합니다. 이러한 모듈 방식은 Flamer, Weevil(The Mask)과 같은 다른 정교한 악성 코드 그룹에서도 확인된 바 있으며, 다단계 로딩 아키텍처는 Duqu/Stuxnet 보안 위협 계열과 유사합니다.

추이 및 공격 대상
레긴 감염 사례는 2008년에서 2011년 사이에 다양한 조직에서 발견되었다가 갑작스럽게 사라졌습니다. 2013년부터는 이 악성 코드의 새로운 버전이 활동하기 시작했는데, 민간 기업을 비롯하여 정부 기관, 연구 기관 등이 공격 표적에 포함되었습니다. 절반에 가까운 감염 사례가 개인 사용자와 소기업에서 발견되었습니다. 통신 회사에 대한 공격은 해당 인프라스트럭처를 통해 통화 라우팅에 접근하는 데 주안점을 두고 설계된 것으로 보입니다.

Page 3-1.png
그림 2. 확인된 레긴 감염 사례(부문별)

한편 감염 사례는 다양한 지역에서 나타나고 있는데, 특히 10개국에서 그 활동이 두드러졌습니다.

Page 3-2.png

그림 3. 확인된 레긴 감염 사례(국가별)

감염 벡터 및 페이로드
레긴의 감염 벡터는 표적에 따라 달라지며, 현재로서는 재현 가능한 벡터가 발견되지 않았습니다. 시만텍은 일부 피해자들이 유명 웹 사이트를 사칭한 스푸핑 버전에 방문하도록 유인되었을 것으로 보고 있습니다. 이 경우 보안 위협이 웹 브라우저 또는 애플리케이션 익스플로잇을 통해 설치될 가능성이 있습니다. 실제로 일부 시스템의 로그 파일을 보면 Yahoo! Instant Messenger의 미확인 익스플로잇을 통해 레긴이 유입된 것을 알 수 있습니다.

레긴은 모듈 방식을 사용하므로 공격자가 필요에 따라 표적에 적합한 맞춤형 기능을 추가할 수 있는 유연성을 제공합니다. 일부 맞춤형 페이로드는 매우 정교하고 특정 분야에 대한 고도의 전문성을 보여주는데, 이 역시 레긴 개발 조직이 보유한 리소스의 수준을 가늠케 합니다.

레긴 페이로드는 수십 가지에 달합니다. 이 보안 위협은 다양한 RAT(Remote Access Trojan) 기능을 표준으로 제공하며, 여기에는 스크린샷 캡처, 마우스의 포인트 앤 클릭 기능 제어, 암호 도용, 네트워크 트래픽 감시, 삭제 파일 복구 등이 포함됩니다.

그 외에 Microsoft IIS 웹 서버 트래픽 모니터, 휴대폰 기지국 제어 장치 관리에 대한 트래픽 감시 프로그램 등 보다 정교하고 특화된 형태의 페이로드 모듈도 발견되었습니다.

은닉 기능
레긴 개발자들은 이 악성 코드가 이목을 끌지 않도록 하는 데 각별한 노력을 기울였습니다. 이러한 은닉성은 수년에 걸친 첩보 작전에 이용될 가능성을 시사합니다. 심지어 악성 코드의 존재가 드러나는 경우라도 구체적으로 어떤 활동을 수행하는지 파악하기가 매우 어렵습니다. 시만텍은 샘플 파일을 해독한 후에야 페이로드를 분석할 수 있었습니다.

레긴은 다양한 “은닉” 기능을 갖추고 있습니다. 그중에는 분석 차단(anti-forensics) 기능, 맞춤형 암호화 가상 파일 시스템(EVFS), 일반적으로 사용되진 않지만 RC5 변종의 형태를 띤 대체 암호화 기능이 포함되어 있습니다. 레긴은 ICMP/ping, HTTP 쿠키에 포함된 명령, 맞춤형 TCP 및 UDP 프로토콜 등 여러 정교한 수단을 통해 공격자와 은밀하게 소통합니다.

결론
레긴은 매우 복잡한 보안 위협으로 조직적인 데이터 수집 또는 첩보 작전에 이용되어 왔습니다. 공격자가 이 악성 코드를 개발하고 운영하는 데 상당한 시간과 재원을 투자했을 것으로 보이며, 이는 배후에 국가 정부가 개입되어 있을 가능성을 시사합니다. 이 악성 코드는 표적을 지속적이고 장기적으로 정탐하는 데 최적화되어 있습니다.

레긴의 발견은 첩보 활동을 위한 툴 개발에 지속적으로 얼마나 많은 투자가 이루어지는지 보여줍니다. 시만텍은 레긴의 구성 요소 중 상당수가 아직 밝혀지지 않았으며 또 다른 기능과 버전도 존재할 가능성이 있다고 판단합니다. 시만텍은 추가적인 분석을 통해 새롭게 밝혀지는 정보를 업데이트할 계획입니다.

추가 자료
보안 관리자가 주목해야 할 감염 지표를 비롯하여 보다 자세하고 기술적인 정보는 시만텍 기술 백서, 레긴: 은밀한 감시 기능을 갖춘 최첨단 첩보 툴을 참조하십시오.

시만텍의 보호
시만텍 및 노턴 제품은 이 보안 위협을 Backdoor.Regin으로 탐지합니다.

POS malware: Potent threat remains for retailers

Hacker Medic November 20, 2014 No Comments

The retail industry continues to be a low-hanging fruit for attackers and attacks are likely to continue until the full transition to more secure payment technologies.

Twitter Card Style:

summary

As Americans gear up for another holiday shopping season, the threat posed by point-of-sale malware remains high. More than a year after the discovery of the first major attacks against POS networks, many US retailers are still vulnerable to this type of attack and are likely to remain so until the complete transition to more secure payment card technologies in 2015.

While some retailers have enhanced security by implementing encryption on their POS terminals, others have not and retailers will continue to be a low-hanging fruit for some time. While the introduction of new technologies will help stem the flow of attacks, it will not eliminate fraud completely and attackers have a track record of adapting their methods.

Point-of-sale malware is now one of the biggest sources of stolen payment cards for cybercriminals. Although it hit the headlines over the past year, the POS malware threat has been slowly germinating since 2005 and the retail industry missed several warning signals in the intervening period. This allowed attackers to hone their methods and paved the way for the mega-breaches of 2013 and 2014, which compromised approximately 100 million payment cards and potentially affected up to one-in-three people in the US.

Attacks have reached epidemic proportions in part because POS malware kits are now widely available, which means attackers can target retailers without having to develop their tools from scratch. For example, BlackPOS (detected by Symantec as Infostealer.Reedum), which was used in the some of the most high profile attacks, has been for sale since February 2013 with a price tag of US$2,000. This is a relatively small investment for attackers, who are likely to net millions from a successful operation.

Figure 1. Point-of-sale attacks exploded once malware kits became widely available on the cyberunderground

Hopelessly exposed
Attacks on point-of-sale terminals had their genesis as far back as 2005, when attackers began using networking-sniffing malware to intercept payment card data while in transit. A group of attackers led by Albert Gonzalez were the main perpetrators, stealing more than 90 million card records from retailers.

As payments processors and retailers tightened up their security, the attackers adapted and attention turned to the point-of-sale terminal. When a card is swiped, its details are briefly stored in the terminal’s memory while being transmitted to the payment processor. This provides a brief window for malware on the terminal to copy the card data, which it then transmits back to the attackers. The technique is known as “memory scraping”.

POS malware was first discovered October 2008, when Visa issued an alert on a new type of exploit. During a fraud investigation, it found that attackers had been installing debugging software on POS systems that was capable of extracting full magnetic stripe data from its memory. Little heed appears to have been taken of this warning, giving malware developers time to perfect their methods. In the intervening period, developers have worked to streamline the malware, integrating all functionality into a single piece of software.

This development process eventually led to fully featured POS malware kits emerging on underground markets from 2012 onwards. US retailers were hopelessly exposed and what followed was a flood of high profile breaches, with several major US retailers hit by POS malware attacks.

Spotlight: BlackPOS
One of the most widely used forms of POS malware is BlackPOS which is also known as KAPTOXA, Memory Monitor, Dump Memory Grabber, and Reedum. Variants of BlackPOS have been used to mount some of the biggest retail POS breaches.

Its development mirrors the evolution of the broader POS malware market. The earliest versions of BlackPOS date from 2010. Over time, it has evolved into a highly capable cybercrime tool which employs encryption to cover its tracks and can be customized to suit the target environment.

By February 2013, BlackPOS was ready for the mass market and the group behind one of its variants began selling it on underground forums, charging customers $2,000 for the package.

Thriving marketplace
While the malware used to mount POS attacks is usually sold on underground forums, these forums are also often where the bounty of those attacks returns to be sold. For example, stolen credit card details from some of the biggest US breaches were sold on a forum known as Rescator.

New research from Symantec found that prices can vary heavily depending on a number of factors, such as the type of card and its level, i.e. gold, platinum or business. Card data originating from the US tends to be cheaper because of the widespread availability stolen US cards. Card details along with extra information, known as “Fullz”, tend to attract higher prices because details such as someone’s date of birth or credit card security password make it easier to perform fraudulent transactions or other activities.

Single credit cards from the US tend to cost $1.50 to $5, with discounts often available for those who buy in bulk. Single cards from the EU tend to cost more, selling for $5 to $8. Fullz start at $5 and can range up to $20. A single embossed plastic card with custom number and name meanwhile will sell for approximately $70. The stolen cards uploaded to Rescator were initially selling at a cost of $45 to $130 per card before prices later settled down.

Will new technologies render POS malware obsolete?
New payment card technologies, many of which are already in use in Europe, have been promoted as effective countermeasures for POS malware but are not a silver bullet. Their arrival is likely to herald the end of the large-scale POS breaches seen in recent years, but they will not eradicate theft of credit card data completely.

The adoption of EMV, chip-and-pin cards to replace traditional magnetic stripe cards ought to render the current generation of memory-scraping POS malware ineffective. However, chip-and-pin cards are still susceptible to skimming attacks and stolen credit card numbers can still be used in “card-not-present” transactions, such as online purchases.

Additionally, stolen credit card information in Europe is often used in the US since it doesn’t have chip and pin as a verification method. Going by this precedent, the advent of chip and pin in the US may mean attackers will continue to attempt to steal card information but use it in other countries that don’t use the chip-and-pin standard.

The chip-and-pin standard itself may be superseded at some point by the adoption of NFC mobile payment solutions such as Apple Pay, Google Wallet or CurrentC. With these payment technologies, the credit card number isn’t transmitted during the transaction. NFC is still susceptible to exploitation by attackers, but most attacks require physical proximity, making large-scale thefts almost impossible.

Advice for consumers
Some retailers are rolling out encryption on their point-of-sale networks to prevent memory scanning, which is encouraging. However, attackers have a tendency to adapt and evolve, and will no doubt look to circumvent these additional countermeasures.

There are several steps you can take to remain vigilant against this type of fraud:

Monitor your bank account and credit card statements for any strange or unfamiliar transactions. Notify your bank immediately if you notice anything suspicious. Small transactions, such as a $1 charitable donation, are often used by criminals to test if a card is still usable.
Carefully guard personal information such as your address, your Social Security number, or date of birth, and don’t use easily guessed passwords or PIN codes. All of these details can be used to facilitate identity theft and defeat additional security checks.

Advice for businesses
Symantec has a number of solutions for retailers who wish to guard their point-of-sale systems from attack. For more details, please read: Secure Your Point-of-Sale System

Symantec protection
Symantec products detect all of the currently known variants of point-of-sale malware, including:

BlackPOS

FrameworkPOS

Infostealer.Reedum.D

Dexter

Infostealer.Dexter

Chewbacca

Infostealer.Fysna

JackPOS

Infostealer.Jackpos

RawPOS

Vskimmer

Infostealer.Vskim

Backoff

Further information
For more information about attacks against POS systems, please read our whitepaper entitled: Attacks on point of sales systems

Spin.com visitors served malware instead of music

Hacker Medic November 4, 2014 No Comments

Compromised site sent visitors to Rig exploit kit to infect them with a range of malware including Infostealer.Dyranges and Trojan.Zbot.

On October 27, while tracking exploit kits (EKs) and infected domains, Symantec discovered that the popular music news and reviews website spin.com was redirecting visitors to the Rig exploit kit. This exploit kit was discovered earlier this year and is known to be the successor of another once popular EK, Redkit. The Rig EK takes advantage of vulnerabilities in Internet Explorer, Java, Adobe Flash, and Silverlight and was also one of the EKs associated with the askmen.com compromise back in June.

At the time of writing, the spin.com website was no longer compromised. However, spin.com is a popular site in the US, according to Alexa, so the attackers could have potentially infected a substantial amount of users’ computers with malware during the time the site was compromised. The number of potential victims could grow substantially depending on the length of time the website was redirecting visitors to the EK prior to our discovery. Our data shows that the attack campaign mainly affected spin.com visitors located in the US.

Figure 1. Symantec telemetry shows visitors based in the US were most affected by spin.com compromise

How the attack worked
The attackers injected an iframe into the spin.com website, which redirected users to the highly obfuscated landing page of the Rig EK.

Figure 2. Injected iframe on compromised spin.com website

When the user arrives on the landing page, the Rig EK checks the user’s computer for driver files associated with particular security software products. To avoid detection, the EK avoids dropping any exploits if the security software driver files are present.

Figure 3. Rig EK searches for driver files used by security software products

The EK then looks for particular installed plugins and will attempt to exploit them accordingly. In the recent compromise, the Rig EK took advantage of the following vulnerabilities:

Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-2551)
Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322)
Adobe Flash Player Remote Code Execution Vulnerability (CVE-2014-0497)
Microsoft Silverlight Double Deference Remote Code Execution Vulnerability (CVE-2013-0074)
Oracle Java SE Memory Corruption Vulnerability (CVE-2013-2465)
Oracle Java SE Remote Java Runtime Environment Code Execution Vulnerability (CVE-2012-0507)
Microsoft Internet Explorer Information Disclosure Vulnerability (CVE-2013-7331)

Upon successfully exploiting any of these vulnerabilities, a XOR-encrypted payload is downloaded onto the user’s computer. The Rig EK may then drop a range of malicious payloads such as downloaders and information stealers including banking Trojan Infostealer.Dyranges, and the infamous Trojan.Zbot (Zeus).

Symantec protection
Symantec has detections in place to protect against the Rig EK and the vulnerabilities exploited by it, so customers with updated intrusion prevention and antivirus signatures were protected against this attack. Users should also ensure that they update their software regularly to prevent attackers from exploiting known vulnerabilities. Symantec provides the following comprehensive protection to help users stay protected against the Rig EK and the malware delivered by it in this recent website compromise:

Intrusion prevention

Antivirus

Avast! Mobile Security gets award from AV Comparatives

Avast Blog September 24, 2014 No Comments

AV Comparatives awarded avast! Mobile Security for its malware protection and highly developed theft-protection. Most people would not dream of neglecting the security of their PCs or laptop, but those same folks forget that the device in their pocket is just as powerful, if not more so. You’ve heard it before –your expensive smartphone, which […]

Bad news for SMBs: Target’s “Backoff” malware attack hits 1,000 more businesses

Avast Blog August 28, 2014 No Comments

U.S. merchants advised to protect themselves against same PoS hack that hit Target and Neiman Marcus last year. More than 1,000 U.S. businesses have had their systems infected by Backoff, a point-of-sale (PoS) malware that was linked to the remote-access attacks against Target, Michaels, and P.F. Chang’s last year and more recently, UPS and Dairy […]

Reveton ransomware has dangerously evolved

Avast Blog August 19, 2014 No Comments

The old ransomware business model is no longer enough for malware authors. New additions have made Reveton into a truly dangerous business. The latest generation of Reveton, the infamous “police” lock screen/ransomware, targets new black market business. The authors upped the ante of the despised malware from a LockScreen-only version to a dangerously powerful password […]