Tag Archives: malware

Sophisticated Viknok Malware Proves That Click-fraud Is Still a Moneymaker for Scammers

Symantec has spotted a recent surge of infections of Trojan.Viknok, which can gain elevated operating system privileges in order to add compromised computers to a botnet. Trojan.Viknok, first observed in April 2013, infects dll files with a malicious payload. Since its initial discovery, the malware has evolved into a sophisticated threat, capable of obtaining elevated operating system privileges in order to infect system files on multiple Windows operating systems, such as the 32 and 64-bit versions of Windows XP, Vista and 7. 

Attackers have been observed using Viknok-infected computers to carry out Adclick fraud. While click-fraud activity has been prevalent for years, it still seems to be an effective way for scammers to make money. The scammers behind the current Viknok campaign have gone to a lot of effort to add more victims to their Adclick botnet, helping them make more money in the process.

While the Viknok malware was discovered last year, attackers have been increasingly using the threat in the last six months. In April 2014, Symantec observed a spike in Trojan.Viknok activity along with new reports of Viknok-infected computers playing random audio clips through victims’ speakers. In the first week of May alone, Symantec saw 16,500 unique Viknok infections. The majority of victims are located in the US.

In this blog, we’ll talk about how Viknok manages to alter a system dll to gain elevated privileges. We’ll discuss the techniques the threat uses to infect its targets and how it takes advantage of compromised computers to conduct click-fraud. Finally, we’ll show how many Viknok infections have occurred in recent months and talk about how to protect yourself from this threat.

Viknok’s privilege escalation exploit
Modifying a system dll is no easy task in today’s operating systems. Even if a user is operating from an administrator account, they will not have the permissions to alter core system files, such as rpcss.dll which lets software continue to run each time Windows restarts. So how can Viknok infect these files?

Viknok has an arsenal of techniques at its disposal to let it perform the silent infection of the system file rpcss.dll. These methods consist of: 

The most powerful of these techniques is the exploitation of CVE-2013-3660, which allows the threat to run code in kernel mode.

 figure1_8.png
Figure 1. The exploit’s payload code

The code shown in the previous image shows how the threat is able to assign itself the system process’ primary access token, giving the malware the same privileges as the user with the highest administrative rights. 

How Viknok infects computers
Depending on the privileges used to initially execute Viknok, the threat may try one or more of the previously mentioned techniques. The threat’s purpose is to infect the file rpcss.dll, so that the malicious code is executed every time Windows starts. The infection of this file merely provides a loader for the core of the malware itself, which is usually stored in an encrypted file in the %System% folder.

We tested several scenarios to verify Viknok’s infection capabilities, which have been summarized in the following image.

figure2a.png
Figure 2. Some common Viknok infection scenarios

There are several conditions that may affect the outcome of the infection process, such as if the threat is manually downloaded and run, if it is dropped through an exploit or if it is dropped by the browser or a browser plugin. The previous image does not exhaust all possibilities; however it shows configurations that are commonly found in user or corporate environments.

In many cases, the infection process is completely stealthy; the threat does not show any warning to the user. The malware is also difficult to detect since it does not show any suspicious running process, nor does it infect any of the standard load points. In some cases, the threat needs to show the User Account Control (UAC) prompt to the user in order to obtain the elevation of privileges. If the user does not grant the permission, the infection will fail. However, the threat uses system components to try and load its code for privilege elevation. As a result, the UAC prompt will look like it’s a part of normal system activity, as shown in the following image.

figure3_4.png
Figure 3. Example of UAC prompt

Payload & click-fraud activity    
As mentioned previously, attackers are currently using Viknok-infected computers to perform click-fraud activity. Attackers carry out this activity using malware detected by Symantec as Trojan.Vikadclick. Once Vikadclick is loaded by the Viknok-infected rpcss.dll file, it will periodically download commands from command-and-control (C&C) servers under the attackers’ control. These commands force the compromised computer to perform network activity related to Adclick fraud. 

As a result of Trojan.Viknok infections and the related Adclick fraud, unknowing victims have been experiencing random audio playback through their compromised computers. This is believed to be caused by Trojan.Vikadclick surreptitiously visiting Web pages in the background that contain streaming audio content. Our analysis has shown that Trojan.Vikadclick’s Adclick fraud content includes car insurance for teenagers, tickets to Paris and bulk domain name registration, to name a few. 

Prevalence 
Symantec telemetry shows that Viknok activity has increased considerably in the last six months, with Symantec detecting and remediating over 22,000 unique infections in April 2014. 

figure4_3.png
Figure 4. Growth in Viknok detections in the last 6 months.

From May 1 to May 6, Symantec telemetry shows that we have detected over 16,500 unique Viknok infections. The majority of the infections have been observed in the US. The number of Viknok detections for May 2014 is on track to reach the highest amount of infections of this malware recorded to date.  

figure5_2.png       
Figure 5. Heatmap for Viknok detections in May 2014 to date.

Protection 
Symantec protects users against Viknok under the following detection names:

Antivirus detections

The non-repairable infections are related to copies of legitimate infected dlls, which can be safely deleted without affecting the computer. 

Intrusion Prevention Signatures 

For the best possible protection, Symantec customers should use the latest Symantec technologies incorporated into our consumer and enterprise solutions. Finally, always keep computers up to date with the latest virus definitions and patches.

While still a relatively newcomer on the malware threat landscape, Trojan.Viknok has shown its ability to evolve and implement sophisticated infection techniques to circumvent operating system access control mechanisms. Its use of Adclick fraud to monetize the botnet shows that this form of fraud is still a popular mean of income for malware authors. The continued spike in Trojan.Viknok activity suggests that this threat looks to become a common player on the threat landscape, so Symantec will continue to monitor it closely. Symantec is continuing to investigate how this threat arrived on victims’ computers.

Operation Francophoned: The Persistence and Evolution of a Dual-Pronged Social Engineering Attack

Contributor: Andrea Lelli

Operation Francophoned, first uncovered by Symantec in May 2013, involved organizations receiving direct phone calls and spear phishing emails impersonating a known telecommunication provider in France, all in an effort to install malware and steal information and ultimately money from targets. 

This highly targeted dual-pronged attack has proven to be very persistent in the French speaking world. Keeping a close eye on the Francophoned campaign, Symantec observed a resurgence in October 2013 and, early this year, witnessed some changes to the social engineering attack including the use of new malware.
 

Figure1.png
Figure 1. How Operation Francophoned works

According to our telemetry (Figure 2), the Francophoned operation reemerged in October 2013 with a new campaign of spear phishing emails, immediately followed by a lull in activity that could be due to the attackers using this time to process the data acquired from successful attacks and preparing for the next campaign. A few months later, two new campaigns were observed, with a much shorter processing/preparation period in-between. Both of these campaigns used a completely new threat. 

Figure2.png
Figure 2. Francophoned attacks detected overtime

October 2013 – January 2014: The resurgence of Operation Francophoned
The attackers did not change much during this time period, the social engineering tactics and malware used in the initial campaign (W32.Shadesrat aka Blackshade) remained the same. Victims received spear phishing emails, which impersonated a well-known company, and were lured into downloading fake invoices hosted on a new compromised domain. In some instances, the attackers were more aggressive and called the victims in order to enforce the spear phishing emails over the phone. 

February 2014 – Present: Operation Francophoned changes
In February of this year, the campaign took a new turn. The attackers began distributing a new payload from a number of freshly compromised domains, resulting in a sudden increase in infection numbers. However, the payload was different from that used previously (Blackshade), though the attackers still used the same command-and-control (C&C) server. The move to a different payload shows that those behind these attacks are eager to evolve their business and innovate new ways of making money. The new threat used by the attackers, named Trojan.Rokamal, is obfuscated with a DotNet packer and can be configured to perform the following actions:

  • Downloading and executing potentially malicious files
  • Performing distributed denial-of-service (DDoS) attacks
  • Stealing information
  • Mining cryptocurrency
  • Opening a back door

The cryptocurrency mining and DDoS functions were not enabled in the Trojan.Rokamal samples used in the operation. As Operation Francophoned is aimed at organizations, disabling these functions makes sense because they would raise several flags and be easily spotted if active in a business environment.

The organizations targeted by Operation Francophoned fall into the sectors shown in Figure 3.

Figure3.png
Figure 3. Sectors targeted by Operation Francophoned

Despite an increase of activity this year with the use of Trojan.Rokamal, Operation Francophoned still focuses only on French organizations and speakers based in and outside of France. The following heatmap shows the concentration of the Francophoned attacks around the world. 

Figure4.png
Figure 4. Operation Francophoned detections worldwide

Language and cybercrime
Operation Francophoned was specifically crafted to target French speakers and proves that language is a major (and often underestimated) factor in the reach and effectiveness of cybercrime campaigns. For example, in terms of countries it is spoken in, French is the second most widely spoken language. It is an official language in 29 countries, spoken by 110 million native speakers, and by another 190 million as a second language. French speakers are concentrated not just in France, but also in wide areas of Africa, nearby European countries, Canada, and various islands around the world. As such, French speakers present a large pool of potential victims who may not have been targeted as heavily as English speakers. 

Protection
Symantec advises users to be careful when dealing with suspicious emails and to avoid clicking on suspicious links or opening suspicious attachments. Symantec also recommends verifying a person’s identity when receiving a business related call. 

Symantec has the following antivirus, reputation, and heuristic detections in place to protect against this threat: 

Are software “Easter eggs” safe?

      No Comments on Are software “Easter eggs” safe?

Easter egg hunts are a favorite activity for kids and adults alike, and on Easter Sunday, backyards, church grounds and even the White House will host their own competitions. Cyberspace has its own Easter eggs (a hidden message in software applications), and the hunt for them is just as fun as for real eggs. I […]

???????????????????: ?????????????????????????

bankeiya_concept.png
ここしばらく、日本のインターネットユーザーは SpyEye(Trojan.Spyeye)や Zeus(Trojan.Zbot)といった、オンラインバンキングを狙うトロイの木馬への対応に悩まされ続けています。これらのマルウェアによる被害件数も、銀行口座から引き出された金額も、驚くほどの割合で急増しています。警察庁によれば、オンラインバンキングでの不正な引き出しの件数は、2012 年の 64 件から、2013 年には 1,315 件へと跳ね上がりました。これだけでも、その深刻さがうかがえるでしょう。預金の被害額も、2012 年には 4,800 万円だったものが、2013 年には約 14 億円にのぼっています。

先日は、日本のユーザーから銀行口座に関する情報を盗み出そうとする複数のマルウェアファミリーも見つかっています。最近確認されたものとして Infostealer.AyufosInfostealer.TorpplarInfostealer.Bankeiya がありますが、今回は Infostealer.Bankeiya について詳しく説明します。

シマンテックが Infostealer.Bankeiya に注目し始めたのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃の拡散が確認された 2 月のことです。この脆弱性についても、以前のブログでお伝えしています。当時はまだ、この脆弱性に対するパッチが公開されていなかったため、Internet Explorer 9 と 10 のユーザーは無防備なままになっていました。Infostealer.Bankeiya の開発者は、その状況につけ込み、さまざまな正規の Web サイトに侵入してドライブバイダウンロード攻撃を仕掛けたのです。3 月 11 日にパッチが公開されてもなお、盛んな攻撃が続きました。攻撃された正規サイトには、旅行代理店、テレビ局、宝くじのサイトのようにアクセス数の多いものから、少数ながらオンラインショップ、コミュニティサイト、個人 Web サイトなど小規模なサイトも含まれています。

Infostealer.Bankeiya の調査をさらに進めたところ、これは新しいマルウェアファミリーではないことが判明しました。実際に最初の亜種が発見されたのは 2013 年 10 月のことで、それ以来多くの亜種が確認されています。Infostealer.Bankeiya の目的は、侵入先のコンピュータからオンラインバンキングに関する情報を盗み出すことだけです。システムに感染するときに、Internet Explorer の脆弱性だけでなく、「Oracle Java SE に存在するリモートコード実行の脆弱性」(CVE-2013-2463)も悪用されていることをシマンテックは確認しています。他の脆弱性が悪用されている可能性も否定できません。

Infostealer.Bankeiya による典型的な攻撃の手順は、以下のとおりです。

  1. 攻撃者が正規の Web サイトに侵入し、訪問者のコンピュータに感染するための悪用コードを仕掛けます。
  2. 脆弱性が残っているコンピュータを使ってユーザーがこのサイトにアクセスすると、システムが Infostealer.Bankeiya に感染します。
  3. Infostealer.Bankeiya は、IP アドレス、Mac アドレス、OS のバージョン、インストールされているセキュリティソフトウェアなど、侵入先のコンピュータに関する情報をアップロードします。
  4. 次に、暗号化された設定データをダウンロードします。これには、Infostealer.Bankeiya の更新版が置かれている場所として、次のいずれかの情報が指定されています。
    1. 暗号化されたデータホストすることだけを目的としたブログページ上のプロファイル
    2. 侵入先 Web サイトの特定の URL
  5. 更新が見つかった場合には、新しいバージョンをダウンロードし、自身を置き換えます。更新版には、新しいコマンド & コントロール(C&C)サーバーの場所に関する情報が含まれています。
  6. 標的となったオンラインバンキングサイトに被害者がログインすると、偽のポップアップウィンドウが表示されます。言うまでもなく、被害者にオンラインバンキングの情報を入力させることを狙ったものです。
  7. ここで入力した情報は C&C サーバーに送信されて保存され、攻撃者が取得できるようになります。

figure1_19.png
図 1. Infostealer.Bankeiya の C&C サーバーのログインページ

シマンテックは、コンピュータに侵入した Infostealer.Bankeiya からそれ以上のデータが攻撃者に送信されないように、既知の C&C サーバーをシンクホールに捕捉しました。また、被害者のコンピュータからのアクセスログを記録してサーバーを監視し、この攻撃の拡散状況も概算しました。シマンテックがこれを実行したのは 3 月中旬のある 1 週間ですが、その結果によると最大 20,000 台のコンピュータが感染していたことになります。その大多数が日本国内の IP アドレスからのアクセスで、そのことに驚きはありませんが、感染件数を考えるといささか深刻です。以下に示す数字はインターネット上でサーバーにアクセスしていたデバイスの数に基づいており、一部のデバイスは感染していないシステムのため除外されていることに注意してください。

figure2_18.png
図 2. C&C サーバーにアクセスしていたデバイス

シンクホールのデータによれば、日本に次いで被害が多かったのは香港です。これは、CVE-2014-0322 の悪用コードに狙われたコンピュータについて以前のブログで示したデータとも一致していますが、それには理由があります。シマンテックの調査では、ファイルを使って Bitcoin をマイニング(採掘)する別種の攻撃との関連性も確認されています。侵入を受けた香港のフォーラムサイトにアクセスするユーザーを標的とした攻撃もあります。このケースでは、コンピュータのハードウェアを悪用して Bitcoin を採掘するために、jhProtominer という Bitcoin マイニングソフトウェアを被害者のコンピュータにダウンロードして実行する目的で CVE-2014-0322 の悪用コードが使われています。攻撃者は、国境を越えた別のユーザーを標的にすることにも意欲的なようで、利益のためならどのような機会も利用しようと狙っています。

マルウェア感染の多くは、侵入を受けた正規のサイトにアクセスしたために起きています。あらゆるソフトウェア製品は、最新のパッチを適用して頻繁に更新することが重要です。Infostealer.Bankeiya に悪用された脆弱性のケースのように、パッチが公開されていない場合もあります。そのような場合でも、セキュリティソフトウェアはコンピュータのセキュリティを強化するために効果があるので、セキュリティソフトウェアをインストールして最新の状態に保つようにしてください。こうした推奨事項に従えば、ほとんどの感染は予防できるものです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Financial Trojans’ Persistent Attacks on the Japanese Internet Community

bankeiya_concept.png
In the recent years, the Japanese internet community has faced difficult times trying to combat financial Trojans such as SpyEye (Trojan.Spyeye) and Zeus (Trojan.Zbot). The number of victims affected and the amount of funds withdrawn from bank accounts due to the compromise are increasing at an alarming rate. Just to give you an idea, according to the Japanese National Police Agency, the number of reported illegal Internet banking withdrawals jumped from 64 incidents in 2012 to 1,315 incidents in 2013. The loss in savings amounted to approximately 1.4 billion yen (US$ 14 million) in 2013, up from 48 million yen (US$ 480,000) in 2012.

More recently, the nation has also discovered that multiple malware families dedicated to stealing banking details from Japanese users are being developed. Recently, we have seen the development of  Infostealer.Ayufos, Infostealer.Torpplar, as well as Infostealer.Bankeiya. Today, we are going to take a closer look at Infostealer.Bankeiya.

We became interested in this Trojan when we observed a widespread attack exploiting the Internet Explorer Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322) in February, which we published a blog on. At the time, there was no patch available for the vulnerability which left users of Internet Explorer 9 and 10 insecure. The  Infostealer.Bankeiya developer decided to take advantage of the situation and compromised various legitimate websites in order to perform drive-by-download attacks. Even after the patch was released on March 11, the aggressive attacks have continued. These legitimate sites include commonly visited websites such as a Japanese tour provider, TV channel site, and a lottery site as well as a handful of small sites including online shops, community websites, and personal websites, among others.

After further investigating the malware we noticed that this was not a new family of malware. The very first variant was actually discovered in October 2013 and a large number of variants have been observed since. The sole purpose of Infostealer.Bankeiya is to steal banking details from  compromised computers. Besides using the Internet Explorer vulnerability, we have also confirmed that Oracle Java SE Remote Code Execution Vulnerability (CVE-2013-2463) is being exploited to infect systems with Infostealer.Bankeiya as well. Other vulnerabilities could also be exploited.

A typical Infostealer.Bankeiya attack works like this:

  1. The attacker compromises a legitimate website to host exploit codeon the site in order to infect visitors’ computers.
  2. If someone with a computer vulnerable to the exploit visits the site, the system becomes infected with Infostealer.Bankeiya.
  3. The malware uploads details about the compromised computer including the IP address, Mac address, OS version, and the name of security software installed.
  4. The malware downloads encrypted configuration data which specifies the location of its updated version from either:
    1. A profile on a blog page solely created to host the encrypted data.
    2. A specified URL on a compromised website.
  5. If an update is found, the malware will download the new version and replace itself with it. This version may contain information about the location of its new command-and-control (C&C) server.
  6. If a victim logs onto  the targeted bank’s online site, the malware will display a fake pop-up window in order trick the victim into entering banking details.
  7. The banking details entered by the victim will be sent to the C&C server and stored for the attacker to retrieve.

figure1_19.png
Figure 1. Login page for Infostealer.Bankeiya command-and-control server

Symantec sinkholed known C& C servers to prevent the malware on the compromised computers from transmitting any further data to the attacker. We also monitored the servers by logging the accesses made by the victims’ computers in order to estimate how successful the attacks had been. We did this for a week in mid-March and the results indicate that up to 20,000 computers could have been compromised. A majority of accesses were coming from Japanese IP addresses. This is not surprising, but the sheer volume is a bit alarming. Please note that the following figure is based on the number of devices on the Internet accessing the servers and some devices were removed because they were non-infected systems.

figure2_18.png
Figure 2. Devices accessing the command-and-control servers

According to the sinkhole data, the second largest number of hits came from Hong Kong. This is also in line with the figure we provided in our previous blog about computers targeted with the CVE-2014-0322 exploit code. There is a reason for this. During our investigation we also noticed a connection with another type of attack that uses files to mine for bitcoins. One particular attack targeted users visiting a compromised forum site in Hong Kong. In this case, the CVE-2014-0322 exploit code was used to download and execute bitcoin miner software called jhProtominer on the victim’s computer in order to abuse the computer’s hardware to mine for the virtual coin. The attacker appears to be motivated enough to target different audiences across borders and is looking for any type of opportunity to make a profit.

Many malware infections occur as a result of visiting legitimate sites that have been compromised. It is vital that all software products are frequently updated so that the most recent patches are applied. In some cases, a patch will not be available, as was the case for one of the vulnerabilities used by Infostealer.Bankeiya. Security software can be used to strengthen the computer’s security status in such cases. So we urge you to install security software and keep it up-to-date. By following these recommendations, most infections can be prevented.

The Gray-zone of malware detection in Android OS

Does the title of this blog post have a mysterious meaning? Not exactly. In this first part about the gray-zone of Android malware detections, I will introduce the Android:SecApk, a detection regarding the protection that the App Shield (Bangcle) offers to Android applications (.apk). This detection has a big sample set that is still growing. […]

ATM ?? SMS ???????????????????????

      No Comments on ATM ?? SMS ???????????????????????

daniel_blof_header_image_cropped.png

企業に対しても一般家庭ユーザーに対しても、サポート終了間近の Windows XP 環境をそれ以降のバージョンにアップグレードするよう求める声は日増しに大きくなっています。機能強化が必要ないとしても、セキュリティとサポートのために必須のアップグレードです。ATM も基本的には、現金へのアクセスを制御するコンピュータであり、ATM の 95% 近くは Windows XP 上で稼働していることがすでに知られています。2014 年 4 月 9 日に予定されている Windows XP のサポート終了を目前に控えた今、金融機関は ATM を標的とするサイバー攻撃の深刻な危機に直面しています。しかも、これは仮想危機などではありません。現実に起こっている危機であり、サイバー犯罪者が ATM を狙う手口はますます巧妙になっています。

2013 年 10 月には、このブログでもお伝えしたとおり、新しい ATM マルウェアがメキシコで確認されており、攻撃者は外付けキーボードを使って ATM から自由に現金を引き出していました。この脅威は、Backdoor.Ploutus と命名されています。その数週間後には、このマルウェアがモジュール式のアーキテクチャへと進化したことを示す新しい亜種も発見されました。この新しい亜種は英語版にもローカライズされており、作成者が活動範囲を他の国や地域にも広げつつあることを示唆しています。新しい亜種は Backdoor.Ploutus.B として検出されます(このブログでは一貫して「Ploutus」と呼びます)。

Ploutus のこの亜種で特徴的なのは、侵入先の ATM に SMS を送信するだけで、サイバー犯罪者は ATM を使って現金を払い戻すことができたという点です。信じられないかもしれませんが、この手口は今でも世界中の至るところで使われています。

今回は、この手口がどのように機能するのかを紹介します。

ATM_blog_infographic_fig1.png
図 1. 攻撃者が携帯電話を使って ATM から現金を引き出す手口

携帯電話から ATM に接続
攻撃者は、ATM の内部に接続した携帯電話を使って ATM をリモートで制御します。携帯電話を ATM に接続する方法はいくつかありますが、一般的なのは USB テザリングと呼ばれる設定を使う方法です。実質的には、携帯電話とコンピュータ(この場合は ATM)との間で共有インターネット接続が確立されることになります。

ATM に Ploutus を感染させるには、攻撃者が携帯電話を正しく設定し、ATM に接続する必要があります。必要な手順がすべて完了すると、完全な双方向接続が確立され、携帯電話の準備が整います。

携帯電話は USB ポートを介して ATM に接続されているので、電力もその接続から供給され、携帯電話本体が充電されます。このため、携帯電話は電源の入った状態を無限に維持できます。

ATM に SMS メッセージを送信
携帯電話を ATM に接続し、設定が完了すると、攻撃者は ATM 内部に接続された携帯電話に特定の SMS コマンドメッセージを送信できるようになります。所定の形式の新しいメッセージを検出すると、携帯電話はそのメッセージをネットワークパケットに変換し、USB ケーブルを通じて ATM に転送します。

このマルウェアにはネットワークパケットモニター(NPM)のモジュールがあり、パケット盗聴の機能を果たして、ATM に向かうすべてのネットワークトラフィックを監視します。侵入先の ATM が有効な TCP パケットまたは UDP パケットを携帯電話から受信すると、NPM がそのパケットを解析し、パケット内の特定のオフセットで「5449610000583686」という数字を探します。データのパッケージ全体を処理することが目的です。この特定の数字が見つかると、NPM は次の 16 桁を読み込み、それを使って Ploutus 実行のコマンドラインを作成します。このコマンドは、たとえば次のような形式になります。

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

以前のバージョンの Ploutus では、主犯格がこの数字をマネーミュール(送金仲介人)と共有する必要がありました。そのため、万一マネーミュールがこの数字の意味に気づいた場合には、主犯格の人物から金銭を詐取できる可能性がありました。今回のバージョンでは、16 桁の数字がマネーミュールには見えないため、主犯格はセキュリティの強化を図ることができ、現金の引き出しを一括管理できるようになっています。この数字の有効期限は 24 時間です。

SMS メッセージを使って ATM をリモートで制御する方法は、離れたところからほとんど瞬時に成功するため、この犯罪に関与する誰にとってもはるかに便利です。主犯格は、マネーミュールが引き出す金額を正確に把握でき、マネーミュールは現金が出てくるまで長時間 ATM の付近にとどまっている必要がありません。主犯格とマネーミュールが動作を同期させていれば、マネーミュールが現金を払い戻す振りをするか、単に ATM の前を通り過ぎるだけで、現金を引き出すことができます。

攻撃全体の流れ
この攻撃が機能する細かい手口は以上に見たとおりなので、これが全体としてどのように機能するのか概要を見てみましょう。

ATM_attack_ploutus_attack_overview_fig2.png
図 2. Ploutus による ATM 攻撃の概要

プロセスの概要

  1. 攻撃者は ATM に Ploutus をインストールし、USB ケーブルを使って携帯電話を ATM に接続します。
  2. コントローラにより、2 通の SMS メッセージが ATM 内部の携帯電話に送信されます。
    1. 1 通目の SMS には、ATM で Ploutus を起動する有効なアクティブ化 ID が含まれています。
    2. 2 通目の SMS には、現金を引き出すための有効な払い戻しコマンドが含まれています。
  3. 有効な SMS メッセージの着信を検出した携帯電話は、TCP パケットまたは UDP パケットとしてそれを ATM に転送します。
  4. ATM 内部では、ネットワークパケットモニターモジュールが TCP/UDP パケットを受信し、それに有効なコマンドが含まれていれば Ploutus を実行します。
  5. Ploutus によって ATM から現金が引き出されます。払い戻される現金の額は、マルウェア内部であらかじめ設定されています。
  6. マネーミュールによって ATM から現金が回収されます。

シマンテックは、Ploutus に感染した実際の ATM を使って、この攻撃を実験的に再現することに成功しました。この攻撃が成功する様子を短い動画でご確認いただけます。

Default Chromeless Player

このデモ動画では Ploutus マルウェアを使っていますが、シマンテックセキュリティレスポンスでは、同じように ATM を標的とする別種のマルウェアもいくつか確認しています。Ploutus の場合、攻撃者は ATM 内部から現金を盗み出そうとしていますが、シマンテックが解析した一部のマルウェアでは、別の悪質なソフトウェアを使って中間者攻撃を仕掛けている間に、顧客のキャッシュカード情報と暗証番号を盗もうとします。ATM から現金を引き出すといっても、最も有効な方法という点では攻撃者によって考え方も違うようです。

ATM を保護するために何ができるか
最近の ATM は、ハードディスクドライブの暗号化などによってセキュリティ機能が強化されているため、こうした侵入の手口も防ぐことができます。しかし、依然として Windows XP 上で動作している旧型の ATM の場合、特にそれがありとあらゆる遠隔地にすでに設置されているとなると、Ploutus のような攻撃を防ぐことはかなり困難です。また、ATM の内部にあるコンピュータの物理的なセキュリティに対処が必要という別の問題点もあります。ATM 内の現金は金庫で厳重に保管されていますが、コンピュータはそうではないためです。旧型の ATM で物理的なセキュリティがこのように不十分な場合、攻撃者はそれだけ有利になります。

犯罪者にとっての難易度を高くするためには、以下のようにさまざまな対策が考えられます。

  • Windows 7 や Windows 8 など、サポートされているオペレーティングシステムにアップグレードする。
  • 物理的に十分な保護を実施し、ATM に監視カメラの設置を検討する。
  • CD-ROM や USB ドライブなど、許可されていないメディアから起動できないように BIOS の機能を制限する。
  • ディスク全体暗号化ソフトウェアを使って、ディスクの改変を防ぐ。
  • Symantec Data Center Security: Server Advanced(旧称、Critical System Protection)などのシステム保護ソリューションを使う。

こうした対策をすべて実施すれば、内部に共犯者がいないかぎり、攻撃者が ATM に侵入することはかなり難しくなります。

シマンテックのコンシューマ向け保護、エンドポイント保護、サーバー保護の各ソリューションは、当面の間 Windows XP を引き続きサポートしますが、Windows XP をお使いの場合には、できるだけ速やかに新しいオペレーティングシステムにアップグレードすることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Pretty women. Which one will infect you?

Malware which opens pictures of attractive women to entice its victims has been around for some time. Last month there were more than usual, so I decided to research malware that pretends to be a regular picture, and the results are pretty interesting. We looked for executable samples with two distinct characteristics: 1. .jpg in […]

O Décimo Aniversário do Primeiro Malware Para Dispositivos Móveis

mwc_10years_tube_map_infographic.png

Figura. Uma breve história de malwares para dispositivos móveis.

 

O ano de 2014 marca o décimo aniversário da criação do primeiro malware para dispositivos móveis. Tudo começou em 2004, quando a primeira variante do SymbOS.Cabir foi submetida para os pesquisadores de segurança. A análise revelou que o worm tinha como alvo o Symbian OS, um sistema operacional bastante popular para dispositivos móveis naquela época.

Telefones infectados se utilizavam do Bluetooth para pesquisar outros dispositivos próximos que estivessem com o modo de descoberta ativado e então tentava se disseminar para o outro aparelho. O usuário tinha que aceitar a transferência do arquivo e também o processo de instalação antes do malware infectar efetivamente o dispositivo. Essa característica limitou a proliferação do vírus, já que a vítima deveria estar no raio de alcance do Bluetooth e também autorizar o processo de cópia e instalação.

Mas este foi apenas o começo. Várias outras variantes do Cabir apareceram com diferentes modificações. Algumas dessas variantes tinham como objetivo o roubo de informações como os contatos do celular enquanto outras tinham uma atuação mais parecida com um vírus clássico, infectando outros arquivos locais.

Poucos meses depois, uma versão modificada de um jogo chamado Mosquito apareceu na Internet. Junto com o jogo, que era bastante popular, essa versão modificada também trazia o trojan Trojan.Mos, que enviaria mensagens de texto (SMS) em segundo plano para números de serviços pagos, acarretando gastos para o proprietário do dispositivo. Esse foi o primeiro caso amplamente visto em dispositivos móveis de um malware com finalidade de lucro financeiro.

A mesma tática vem sendo utilizada nos dias de hoje em centenas de jogos para a plataforma Android, que depois de instalados, enviam mensagens de texto e consomem tráfego de Internet no celular.

Logo após o Mosquito, apareceram as primeiras versões do Skull. A ameaça recebeu esse nome porque uma de suas características era substituir o ícone da maioria das aplicações pela imagem de uma caveira. O malware também substituiu arquivos de sistema e de aplicativos por lixo, impossibilitando o seu funcionamento correto, tornando o telefone quase inutilizável. Para a nossa sorte, naquela época a categoria ransomware não era popular, caso contrário nós veríamos o malware tentando sequestrar as informações do usuário dentro do próprio dispositivo.

Isso mudou em 2013 quando nós vimos as primeiras amostras desse tipo de software malicioso também para dispositivos móveis. Essas ameaças focam mais em manter o telefone refém ao invés dos próprios dados, já que sincronizações das informações dos dispositivos são frequentes e cópias de segurança são realizadas regularmente para ambientes cloud.

Em 2005, o SymbOS.CommWarrior.A entrou em cena. Ele estendeu o vetor de propagação para incluir o envio de mensagens MMS para vários números da lista de contatos. Esse malware teve bastante êxito em sua tarefa e variantes do CommWarrior foram vistas em redes de dispositivos móveis por anos. Em 2006, o Trojan.RedBrowser.A estendeu para outros sistemas operacionais as ameaças que enviam mensagens de texto para números de serviços pagos, sistemas esses que suportavam a plataforma JME. Esse foi o primeiro Trojan para JME com a capacidade de infectar diferentes plataformas para dispositivos móveis.

Dentro de um ano os dispositivos móveis tiveram que lidar com malwares muito similares àqueles encontrados em computadores tradicionais, incluindo worms, Trojans para roubo de dados e com fins lucrativos, e vírus que infectavam outros arquivos. Se isso não fosse suficiente, a ascensão das categorias adware e spyware não passaram desapercebidas nos dispositivos móveis. O Spyware.FlyxiSpy, lançado em 2006, foi comercializado e teve muito sucesso em monitorar atividades de um dispositivo móvel. Uma vez instalado, ele monitorava detalhes de ligações telefônicas e mensagens de texto SMS e enviava as informações para um servidor remoto. O malware foi anunciado como a melhor solução para pessoas que queriam monitorar seus cônjuges. Ameaças similares seguiram e evoluíram nesse mesmo caminho, permitindo o monitoramento de todos os passos do usuário.

Com muitos bancos online passando a utilizar mensagens de texto SMS em seus métodos de verificação de transações, os criminosos também seguiram o mesmo rumo. Como resultado, em 2010, autores de códigos maliciosos introduziram o SymbOS.ZeusMitmo, uma ameaça capaz de encaminhar mensagens de texto de transações bancárias dos dispositivos comprometidos para os criminosos. Isso permitiu que eles continuassem a cometer suas fraudes bancárias online. A idéia foi tão bem-sucedida que, em pouco tempo, surgiram vários malwares com o propósito de explorar serviços de transações de bancos online, para diversas plataformas móveis, exceto para iOS.

Quando o Android se tornou a maior plataforma de dispositivos móveis em 2011, os criadores de malwares começaram a tomar ciência disso. O método preferido de vetor de distribuição para os ataques se tornaram aplicativos com Trojans, usando algumas técnicas de engenharia social para torná-los mais atraentes. Por exemplo, o Android.Geinimi foi um dos primeiros bots de sucesso para dispositivos móveis, disfarçado como uma aplicação real. Desde então botnets para dispositivos móveis tem se tornado popular e são usadas em sua maioria para fraudes, entre outros tipos de ataques.

O Android.Rootcager chegou no mesmo ano e foi a primeira ameaça para a plataforma Android a usar um exploit para elevar os privilégios do usuário. Isso também reforça uma das poucas diferenças entre malwares para dispositivos móveis e ameaças para desktops tradicionais. Em computadores Windows geralmente vemos malwares que usam um exploit para se auto-instalar no computador comprometido. De fato, websites com código malicioso que enviam informações para o dispositivo comprometido tem se tornado o vetor mais utilizado. Entretanto, em dispositivos móveis, esse tipo de técnica acontece muito raramente. Na maioria das vezes, o usuário continua sendo enganado a instalar um aplicativo que aparentemente é bom quando na verdade não é.

Isso não quer dizer que não existam vulnerabilidades em sistemas operacionais para dispositivos móveis – atualmente existem algumas poucas – mas sim que os criminosos ainda não acharam necessário usar esse tipo de porta de entrada para um ataque. Em 2010, um website especializado em jailbreak de iPhone demonstrou como essa forma de ataque poderia ser utilizada. O site aproveitou uma vulnerabilidade no tratamento de fontes de documentos PDF para instalar programas impróprios. Desde então os fabricantes de sistemas operacionais para dispositivos móveis atualizaram e melhoraram sua segurança, tornando mais difícil para um malware fazer uso de vulnerabilidades.

Nos últimos dois anos temos visto um maior crescimento de Trojans e adwares que estão focando em dispositivos móveis, principalmente na plataforma Android. Até mesmo ataques direcionados agora fazem uso de ameaças móveis com o propósito de espionar esses dispositivos. Considerando isso, malwares para dispositivos móveis se tornaram ameaças reais que precisam de maior atenção porque ainda estão em uso. De fato estamos nos aproximando do momento que veremos o próximo passo da evolução das ameaças para dispositivos móveis, especialmente agora que os dispositivos se tornaram componentes importantes para identificação e soluções de pagamento.

Envío de SMSs a Cajeros Automáticos Muestra el Nivel de Sofisticación de los Delincuentes Cibernéticos

daniel_blof_header_image_cropped.png

Actualmente hay una voz, cada vez más insistente, pidiéndole a las empresas y los usuarios de casa que actualicen su Windows XP a una versión más nueva de Windows. Se dice que, si no es por las funciones, que sea al menos para mejorar el soporte y la seguridad de su sistema operativo. En este sentido vale la pena recordar que los cajeros automáticos son prácticamente computadoras que controlan el acceso al dinero en efectivo, y resulta que muchos de ellos funcionan con versiones de Windows XP. Con el inminente fin del soporte para Windows XP programado para el 8 de abril de 2014, la industria bancaria enfrentará el riesgo de sufrir ataques informáticos dirigidos sus cajeros automáticos. Este riesgo no es hipotético y ya se ha hecho presente y se ha identificado que delincuentes informáticos están atacando cajeros automáticos con técnicas cada vez más sofisticadas.

Hacia fines de 2013, publicamos en el blog un artículo sobre un nuevo malware para cajeros automáticos en México, que les permitía a los atacantes forzarlos para que expidieran efectivo utilizando un teclado externo. Esta amenaza recibió el nombre de Backdoor.Ploutus. Semanas después, descubrimos una nueva variante que mostraba que el malware había evolucionado para transformarse en una arquitectura modular. Adicionalmente, la nueva variante también estaba disponible en idioma inglés, lo que indicó que el autor del malware estaba expandiendo su franquicia hacia otros países. La nueva variante se identificó como Backdoor.Ploutus.B (denominado Ploutus para fines de este blog).

Lo interesante de la nueva investigación que hicimos sobre Ploutus es que esta variante les permitía a los ciberdelincuentes enviar un simple mensaje de texto al cajero automático afectado, para luego dirigirse al mismo y recoger el dinero entregado por el aparato. Esto puede parecer increíble pero esta técnica se está empleando en varios lugares del mundo en este momento y en este blog compartiremos cómo funciona esto.   

Ploutus Infograph SPAJ.jpg

Figura 1. Forma en que los atacantes retiran dinero de un cajero automático utilizando un teléfono.

Conectar un teléfono móvil al cajero automático

Los delincuentes informáticos pueden controlar el cajero automático de forma remota utilizando un teléfono móvil que está conectado en el interior del cajero automático. Existen varias formas de conectar un teléfono móvil a un cajero automático. Un método muy común es utilizar una configuración llamada USB tethering (conexión de dispositivos), que es efectivamente una conexión a Internet compartida entre el teléfono y la computadora (o en este caso, el cajero automático).

Los atacantes deben configurar el teléfono correctamente, conectarlo al cajero automático e infectar el cajero con Ploutus. Una vez realizados todos estos pasos, se establece una conexión bidireccional y el teléfono está listo para ser utilizado.   

Dado que el teléfono está conectado al cajero automático a través de un puerto USB, el teléfono consume energía de la conexión, lo que permite cargar la batería, y por lo tanto, el teléfono puede permanecer encendido indefinidamente.    

Envío de mensajes de texto al cajero automático

Tras conectar el teléfono móvil al cajero automático y de completar la configuración, los delincuentes pueden enviar comandos específicos por mensaje de texto al teléfono conectado dentro del cajero automático. Cuando el teléfono detecta un nuevo mensaje en el formato requerido, el dispositivo móvil convierte el mensaje en un paquete de red y lo reenvía al cajero automático a través del cable USB.

El monitor del paquete de red (NPM, por sus siglas en inglés) es un módulo del malware que actúa como un rastreador y vigila todo el tráfico de la red en el cajero. En cuanto el cajero afectado recibe un paquete válido TCP (Protocolo de Control de Transmisión) o UDP (Protocolo de Datagrama de Usuario)  desde el teléfono, el NPM analiza el paquete y busca el número “5449610000583686” en un ajuste específico dentro del paquete para poder procesar todo el paquete de datos. Una vez detectado ese número específico, el NPM lee los siguientes 16 dígitos y los utiliza para crear una línea de comando para ejecutar Ploutus. Este es un ejemplo de dicho comando o instrucción sigue a continuación:         

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

En las versiones anteriores de Ploutus, el delincuente principal debía informarle estos dígitos al encargado o cómplice que recogía el dinero, lo que le daba la oportunidad de estafar al delincuente principal si supiera lo que el código les permite hacer. En esta versión de Ploutus, el cómplice nunca ve los 16 dígitos, lo que le da al delincuente principal la seguridad y la capacidad de tener control total de los retiros de dinero. El código permanece activo durante 24 horas.

El uso de mensajes SMS para controlar cajeros automáticos de forma remota es un método mucho más conveniente para todas las partes involucradas en esta estafa, dado que es discreto y funciona prácticamente de forma instantánea. El delincuente principal sabe exactamente cuánto dinero recogerá su enviado y, a su vez, quien va por el dinero no necesita quedarse merodeando cerca del cajero automático esperando a que salga el efectivo. El delincuente principal y su cómplice pueden actuar de forma sincronizada para que el dinero sea expedido en el momento exacto en que la persona simule retirar dinero o pase caminando frente al cajero automático.   

La suma de los factores del ataque

Ahora que conocemos en detalle cómo funciona esta estafa, este es un resumen del ataque completo:

Ploutus Info2 SPLR.jpg

Figura 2. Resumen del ataque Ploutus a cajeros automáticos

Recapitulación del proceso

  1. El atacante instala Ploutus en el cajero automático y conecta un teléfono móvil a la máquina con un cable USB.
  2. El delincuente envía dos mensajes de texto al teléfono móvil que está conectado al cajero.
    1. SMS 1 debe contener un ID de activación válido para poder activar Ploutus en el cajero.
    2. SMS 2 debe contener un comando válido para activar la entrega del dinero y poder retirar el efectivo.
  3. El teléfono detecta los mensajes de texto válidos recibidos y los reenvía al cajero automático como si fuera un paquete TCP o UDP.
  4. Dentro del cajero, el módulo del monitor del paquete de red recibe el paquete TCP/UDP y, si contiene un comando válido, ejecuta Ploutus.
  5. Un cómplice recoge físicamente el dinero del cajero automático.

Pudimos reproducir este ataque en nuestros laboratorios con un auténtico cajero automático infectado con Ploutus. En este breve video le mostramos cómo funciona este ataque.

Default Chromeless Player

Si bien en esta demostración utilizamos el malware Ploutus, Symantec Security Response ha descubierto otros códigos maliciosos que están atacando a los cajeros automáticos. En el caso de Ploutus, el objetivo de los atacantes es robar dinero desde adentro del cajero, sin embargo, otros códigos que hemos analizado intentan robar el PIN y los datos de la tarjeta del cliente, mientras que algunos intentan concretar ataques de tipo “hombre en medio” (“man in the middle”). Es evidente que los atacantes tienen varias ideas de cómo robar dinero de un cajero automático. 

¿Qué podemos hacer para proteger los cajeros automáticos?

Los cajeros automáticos modernos cuentan con medidas de seguridad avanzadas, como los disco duros encriptados, que pueden evitar estos tipos de técnicas de instalación. Sin embargo, en el caso de los cajeros más antiguos que funcionan con Windows XP, la protección contra estos tipos de ataques es más complicada, en especial cuando los cajeros automáticos ya están en funcionamiento en varias ubicaciones remotas. Otro inconveniente que se debe enfrentar es la seguridad física de la computadora instalada en el cajero. Si bien el dinero en los cajeros está dentro de una caja fuerte, por lo general la computadora no está protegida. Sin un sistema de seguridad física adecuado, el atacante tiene una amplia ventaja sobre los cajeros automáticos, especialmente los más viejos.     

Algunas medidas que recomendamos considerar para complicar la tarea a los delincuentes son:

  • Actualizar el sistema operativo por uno que tenga un soporte adecuado, como Windows 7 u 8.
  • Contar con una protección física adecuada y pensar en la posibilidad de instalar cámaras de seguridad en los cajeros.
  • Asegurar el BIOS (Sistema Básico de Entrada/Salida) para evitar que se inicien medios no autorizados, como los CD-ROM o memorias USB.
  • Realizar un cifrado completo del disco para evitar su manipulación.
  • Utilizar una solución de bloqueo de sistema, como Symantec Data Center Security: Service Advanced (conocida anteriormente como Critical System Protection).

Combinando estas medidas de seguridad, le será muy difícil a los atacantes infectar un cajero automático sin la ayuda de un cómplice infiltrado.

Las soluciones de seguridad para consumidores, endpoint sy protección de servidores seguirán soportando los sistemas Windows XP, sin embargo recomendamos a los usuarios de dicho sistema operativo mirar a uno más actual lo más pronto posible para reducir los riesgos.