Malvertising is an abbreviation of malicious advertising and means that legitimate sites spread malware from their infected advertisement systems. There were many malvertising campaigns in last few years, some of them confirmed even on big sites like The New York Times, but most of them go unnoticed because they are well hidden and served only […]
This blog post is based on the new Symantec Website Security Solutions free white paper, The Power to Destroy: How Malware Works which pulls together statistics from across Symantec’s global security network. The white paper is available in Frenc…
悪質なゲームをダウンロードさせる手口は特に目新しいものではありませんが、マルウェアの作成者はいよいよオンラインゲームユーザーを標的にしようという野望を露わにしています。ゲームを狙うトロイの木馬が、ゲームのログイン情報に加えてユーザーの銀行口座も狙うようになってきています。
Infostealer.Gampass などの脅威が、何年も前からオンラインゲームユーザーのログイン情報やデータを盗み出してユーザーを悩ませてきましたが、登場してからまだ比較的日の浅い Trojan.Grolker も、新しい攻撃経路を使っています。
シマンテックは Trojan.Grolker の活動を 2012 年中頃から確認しています。感染の大部分は韓国で確認されており、それより規模は小さいながらハンガリーでの感染も見られます。攻撃者が韓国を標的にしているのは、韓国でオンラインゲーム人気が高いためです。
図 1. Trojan.Grolker の標的となっている国
今月までは、Trojan.Grolker もゲームを狙う典型的なトロイの木馬だったようで、盗み出すゲーム関連の情報は先行するマルウェアと同様のものでした。古い Grolker サンプルのコードを分析したところ、ブラウザの URL を Grolker の狙うゲームサイトの URL と比較していたことがわかります。それが対象の URL であった場合、Grolker は悪質な JavaScript を Web ページにインジェクトしていました。
図 2. 古い Trojan.Grolker の URL チェック
Grolker の新しいサンプルも以前と同じコードを使って、ブラウザに読み込まれた URL を韓国のオンラインバンキングサイトの URL と比較します。
図 3. オンラインバンキングサイトの URL を検索する新しい Trojan.Grolker
Grolker は、以前のサンプルと同様に、攻撃者が狙う URL を含むページに悪質な JavaScript をインジェクトします。韓国ではあらゆるオンラインバンキングサイトが標的となっているため、韓国のユーザーは大きく被害を受けています。
図 4. Grolker がオンラインバンキングサイトに悪質な JavaScript をインジェクト
正常な Web ページにインジェクトされる悪質な JavaScript は、トロイの木馬のバイナリファイルにハードコード化されています。Grolker は別個の設定ファイルを使わないので、その点がオンラインバンキングを狙う他のトロイの木馬(Trojan.Zbot など)とは異なるところです。
Grolker はブラウザヘルパーオブジェクト(BHO)を使って、コンポーネントを Internet Explorer のプロセスにロードします。オンラインバンキングを狙う他のトロイの木馬はコンポーネントをブラウザのプロセスに直接インジェクトし、ネットワーク機能をフックして Web トラフィックを傍受するのが一般的であり、これも Grolker が他のトロイの木馬と異なる点です。このように、Trojan.Grolker はオンラインバンキングを狙うトロイの木馬よりも、ゲームを狙う従来型のトロイの木馬に似ています。
Trojan.Grolker の攻撃から保護するために、最新のコンシューマ向けのノートン製品やシマンテックのエンタープライズ向けソリューションを使用することをお勧めします。シマンテックは、この脅威を Trojan.Grolker として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Malicious game downloads are not a new phenomenon, but malware authors are now exhibiting a greater degree of ambition in targeting online gamers. A gaming Trojan horse is now targeting user bank accounts in addition to user gaming credentials.
Threats…
10 月 29 日、シマンテックは、今年上半期に Android アプリマーケットに出現したセキュリティリスクに関するレポートを発表しました。このレポートではマルウェアとマッドウェア(モバイルアドウェア)の傾向を取り上げています。マッドウェアとは「攻撃的な広告ライブラリ」を使うアプリのことです。広告ライブラリは、ターゲティング広告を提供するためにアプリのユーザーに関する情報を収集する機能を備えていますが、一部には、個人情報を漏えいしたり、通知バーに広告を表示する、広告アイコンを作成する、Web ブラウザのブックマークを変更するといった、迷惑な動作を行ったりするものもあります。シマンテックは、このようなライブラリを「攻撃的な広告ライブラリ」と呼んでいます。
今年半ばの時点で 65 個の広告ライブラリが知られていましたが、そのうちの半数以上が「攻撃的」と分類されました。攻撃的な広告ライブラリを使うアプリの比率は 2010 年から上昇傾向にあり、2013 年の上半期には 23% にも達しています。今回のレポートによれば、マッドウェアが最も多く見つかるのは[カスタマイズ]カテゴリからダウンロードしたアプリで、[ライブラリ & デモ]カテゴリと[レース]カテゴリがこれに続きます。一方、マルウェアが多く見つかるのは[写真]、[アーケード & アクション]、[エンタテイメント]のカテゴリなので、マッドウェアとマルウェアでは存在している場所が異なります。
予想されたとおり、マルウェアは変わらず増加し続けており、既知のマルウェアサンプルの数(マッドウェアとグレイウェアは除く)は、2013 年 6 月にほぼ 275,000 に達し、1 年前の 2012 年同月と比べると 4 倍にもなっています。
「Mobile Adware and Malware Analysis(モバイルアドウェアとマルウェアの解析)」レポート(英語)は、こちらからダウンロードいただけます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Today, we are publishing a report on the security risks present on Android app markets in the first half of this year. The report presents trends in malware and madware, the latter referring to apps that use aggressive ad libraries. Ad libraries have t…
“Who wouldn’t want to have more likes on their Facebook page?” This is the motivation of a very trivial code to get more likes, but while other methods usually comprise of adding better content or advertising, this one is a bit easier, and much dirtier. Why not show the like button directly beneath your mouse […]
Malware samples received in the avast! Virus Lab Wednesday show that a spoofed email which looks like it has been sent from AVAST is spreading widely. Fortunately, AVAST detects this malware as Win32:Malware[Gen] and has been blocking the virus since 12:45 pm yesterday. The email’s subject header says, “Your Order details and Additional information,” and […]
サイトでは、このアプリケーションを使えば自分のプロフィールページにアクセスしたユーザーのリストを閲覧できると謳っています。アプリを起動するには、ソフトウェアをダウンロードする方法と、ユーザーのログイン情報を入力して Facebook にログインする方法の 2 つがあると説明されていますが、アプリはもちろん偽であり、ダウンロードするソフトウェアにはマルウェアが仕掛けられています。フィッシングページのメッセージで推奨されているのは、ソフトウェアをダウンロードする方法です。謳い文句によると、誰かが Facebook のプロフィールにアクセスするたびに通知が送られてくることになっています。ダウンロードボタンをクリックすると、ファイルダウンロードのプロンプトが表示されます。このファイルには悪質なコンテンツが含まれており、シマンテックはこれを Infostealer として検出します。一方、ユーザーのログイン情報を入力した場合には、フィッシングサイトから正規の Facebook にリダイレクトします。
シマンテックはこのマルウェアを解析し、以下のように動作することを突き止めました。
この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Daniel Regalado Arias
Phishers frequently introduce bogus applications to add new flavor into their phishing baits. Let’s have a look at a new fake app that phishers are leveraging. In this particular scam, phishers were tryin…