Tag Archives: Messaging Gateway

????????????????????????????

      No Comments on ????????????????????????????

以前のブログで、成功率を上げるためにスパマーがメッセージを次々と変更している事例についてお伝えしました。その中で解説したように、同じスパム活動で使われるメッセージが、音声メールの通知から、小売業者の配達不能通知へ、さらには電力会社を装った案内へと変更されていたのです。リンクをクリックすると、Trojan.Fakeavlock を含む .zip ファイルがダウンロードされます。しかし、スパマーもこうした攻撃経路ではユーザーがなかなか騙されなくなってきたことに気付いたようで、この攻撃に 2 つの手口を追加しています。最初はランダムで無関係のように見えましたが、目的は明らかに共通しています。

1 つ目は米国各地の裁判所を騙る手口です。

Court Funeral Email 1 edit.png

図 1. 米国の裁判所に偽装したスパムメール

2 つ目は葬儀場を騙る手口です。

Court Funeral Email 2 edit.png

図 2. 葬儀場に偽装したスパムメール

この 2 つの手口に共通するのは、どちらも大至急メッセージを開封してリンクをクリックするように急かしている点です。どちらも緊急性を感じさせる文面であり、たいていの人は裁判所からの通知は無視できないでしょうし、いったい誰の葬儀なのか知りたくて葬儀への招待リンクもクリックしてしまうでしょう。後者の場合は、葬儀の日取りが当日か翌日になっているので、余計に急かされることになります。

スパマーはこうして工夫を凝らしている一方で、やはり同じミスを繰り返しています。以前と同様、ヘッダーの情報が本文と食い違っているのです。以下に示す例でも、ヘッダーでは裁判所からの通知を装っていながら、本文は電力会社からの案内になっています。

Court Funeral Email 3 edit.png

図 3. ヘッダーと本文が食い違っているスパムメール

このスパム活動は今でも、乗っ取った URL(所有者の知らないうちに侵入を受けてスパムコンテンツをホストしている Web サーバー)をコールトゥアクションとして利用しています。以下に示すように、スパムコンテンツを秘匿するために使われているディレクトリパスもさまざまです。

Court Funeral Email 4.png

図 4. スパムコンテンツを秘匿するために使われているディレクトリパス

グラフの左半分は色分けが比較的単純ですが、右半分になると同じ日でも色が複雑に分かれています。12 月から 1 月初旬に掛けての期間と比べると、このスパムに使われているディレクトリパスの種類が増えています。

このスパム活動はまだ終わりそうになく、スパマーはこれからも新たな経路を考案するものと思われます。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

What Do Court Email and Funeral Email Have in Common?

In this blog detailing how spammers continue to change their messages in order to increase their success rate, we looked at the evolution of the same spam campaign from missed voicemail messages to spoofing various retailers, and then spoofing utility statements. Clicking on the link led the users to a download for a .zip file containing Trojan.Fakeavlock. Attackers may have realized that those attack vectors no longer entice recipients, so spammers have introduced two new schemes for this campaign that appear to be random and unrelated at first, but they do share a common goal.

The first scheme spoofs various courts around the country:

Court Funeral Email 1 edit.png

Figure 1. United States court spam email

The second scheme spoofs a funeral home:

Court Funeral Email 2 edit.png

Figure 2. Funeral home spam email

What do these two vectors have in common? They both urge the recipients to open the message and quickly click on the links. There is a sense of urgency in both messages; usually people do not want to ignore a message from a court, and they would probably want to see if they recognize the person mentioned in the funeral invitation link. In the latter case, the funeral is scheduled to be on the same day or next day, which increases the urgency even more.

While the spammers continue to try their best, they keep making the same mistake. They usually send poorly crafted messages where the header does not match the information in the body. Here is one such example where the header indicates that the message is from a court when the body is a utility statement:

Court Funeral Email 3 edit.png

Figure 3. Spam email where the header and body do not match

This spam campaign continues to use various hijacked URLs (a compromised web server hosting spam content without the owner’s knowledge) as call-to-actions. Various directory paths are used to hide this spam content as seen here:

Court Funeral Email 4.png

Figure 4. Directories used to hide spam content

The left half of the graph shows relatively simple colors, compared with the right half where there are more colors being represented per day. This indicates that the spammer is using a greater variety of directory paths compared to December and early January.

This particular spam run is probably not over yet, and the spammer may find another clever vector to utilize. However, Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

???????????????

      No Comments on ???????????????

スパム送信で特に頻繁に使われる手口のひとつが、「かんじきスパム」とも呼ばれる一撃離脱タイプのスパムです。スパム対策フィルタをできるだけ多くすり抜けられるように、多数の IP アドレスとドメインを用意して、スパムを大量送信するとすぐに新しい IP アドレスとドメインに移行するという手法に特徴があります。一度使われた IP アドレスとドメインが再利用されることは、ほとんどありません。

一部のスパマーは、スパム活動を通じて似たようなパターンを繰り返す傾向があります。今回のブログでは、私が「差出人かんじきスパム(From-Name snowshoe)」と名付けた特定のかんじきスパム活動についてお伝えします。メッセージには、スパム活動を同じカテゴリに分類できる特徴がいろいろありますが、最も顕著な特徴は、「差出人」フィールドに使われているすべての電子メールアドレスで、ユーザー名として実名が使われていることです。

  • 差出人: [削除済み] <Leila.Day@[削除済み]>
  • 差出人: [削除済み] <CharlotteTate@[削除済み]>
  • 差出人: [削除済み] <Diana.Pope@[削除済み]>
  • 差出人: [削除済み] <SamuelLambert@[削除済み]>
  • 差出人: [削除済み] <Jackson.Garza@[削除済み]>
  • 差出人: [削除済み] <JohnathanParsons@[削除済み]>
  • 差出人: [削除済み] <EliasTaylor@[削除済み]>

これが「差出人かんじきスパム」と名付けた所以で、興味深い特徴が 2 つあります。1 つ目の特徴は送信のタイミングであり、数カ月間に及ぶこのスパム活動では平日にしかメッセージが送信されていないことが確認されています。

Spammers Office 1.png

図 1. 2013 年 10 月 16 日以降に確認された 5,900 万通を超えるスパムメッセージ

このタイミングを詳しく調べたところ、このスパムが送信されるのは太平洋標準時の午前 6 時から午後 7 時までに限られていることがわかりました。一定の時間帯に、しかも平日だけに送信されているという事実から、この活動は業務の一環として行われていると考えられます。

2 つ目の特徴は、このスパムの実行に使われた IP アドレスにあります。前述したように、かんじきスパムは同じ IP アドレスを再利用しないのが一般的ですが、送信者の IP アドレスを解析したところ、このスパムメッセージは同じ企業が所有する複数の IP アドレスから送信されていたことがわかりました。所有者は、ペンシルベニア州スクラントンに本拠を置く「Network Operations Center」という企業で、スパムを送信することで広く知られています。

1 月になると、同じタイプのスパムメッセージが、別の企業の所有する IP アドレスから送信され始めました。そのひとつが「Nth Air, Inc.」です。

Spammers Office 2.png

図 2. Nth Air, Inc など他の企業が所有する IP アドレスから送信されたスパムのサンプル

Spammers Office 3.png

図 3. Nth Air, Inc の IP アドレスを示すメールヘッダーの一部

「Network Operations Center spam」というキーワードをオンラインで検索すると、スパムについて論じられている検索結果が多く見つかりますが、Nth Air, Inc について同様に検索してもそれほど多くの結果は見つかりません。実際には、プレスリリースにも書かれているとおり、Nth Air, Inc はかつて正規の WiMAX プロバイダだったようです。同社について報じた最近のニュースも見つからなかったため、私はこの企業はもう存在しないのではないかと考えました。一方で、ARIN の記録には、Nth Air, Inc の本拠地がカリフォルニア州サンノゼであると書かれているので、同社について詳しい情報が得られることを期待してオフィスを訪ねてみることにしました。

Spammers Office 4.png

図 4. Nth Air, Inc の所在地とされる住所にある建物を訪問

ARIN に載っている一室を訪ねてみましたが、別の会社に使われていました。

Spammers Office 5.png

図 5. 70 号室の所有者は現在、Sutherland Global Services となっている

掲載されている番号に電話を掛けても通じません。netops@nthair.com 宛てに電子メールを送信しても、「the recipient does not exist(該当する受信者は存在しません)」というエラーになります。どうにもお手上げです。

「Nth Air, Inc」への訪問が失敗に終わったので、今度は「LiteUp, Inc」を訪ねてみました。

Spammers Office 6.png

図 6. LiteUp, Inc の IP アドレスから送信されたスパムのサンプル

Spammers Office 7.png

図 7. LiteUp, Inc の IP アドレスを示すメールヘッダーの一部

ARIN のリストによると、LiteUp, Inc の所在地はカリフォルニア州バークレーです。該当する住所に足を運びましたが、そこに LiteUp, Inc は見つかりませんでした。

Spammers Office 8.png

図 8. LiteUp, Inc の所在地として掲載されている住所にあったのはオートバイショップ

この 2 つの事例では、少なくとも ARIN の記録によれば、実在しない会社が所有する IP アドレスがスパマーに利用されていたということになります。

今回はスパマーにも、またスパマーを支援している可能性のある人物にも会えませんでしたが、このようなスパムメッセージがエンドユーザーの受信ボックスに届かないように、シマンテックは厳重な警戒を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

My (Failed) Visits to Spammers’ Offices

      No Comments on My (Failed) Visits to Spammers’ Offices

One of the most popular methods of spamming is snowshoe spam, also known as hit and run spam. This involves spam that comes from many IP addresses and many domains, in order to minimize the effect of antispam filtering. The spammer typically sends a burst of such spam and moves to new IP addresses with new domains. Previously used domains and IP addresses are rarely used again, if ever.

Some spammers like to use a similar pattern across their spam campaigns. This blog discusses a particular snowshoe spam operation that I have labeled “From-Name snowshoe”. While there are other features in the message that allow the campaigns to be grouped into the same bucket, the messages’ most distinct feature is that all of the email addresses that appear in the “from” line use real names as their usernames. 

  • From: [REMOVED] <Leila.Day@[REMOVED]>
  • From: [REMOVED] <CharlotteTate@[REMOVED]>
  • From: [REMOVED] <Diana.Pope@[REMOVED]>
  • From: [REMOVED] <SamuelLambert@[REMOVED]>
  • From: [REMOVED] <Jackson.Garza@[REMOVED]>
  • From: [REMOVED] <JohnathanParsons@[REMOVED]>
  • From: [REMOVED] <EliasTaylor@[REMOVED]>

This From-Name snowshoe campaign had two interesting traits. The first was the timing. Over the course of a few months, I have noticed that this spam operation only sent messages on weekdays.

Spammers Office 1.png

Figure 1. Over 59 million spam messages have been identified since October 16, 2013.

After further investigating this timing, we discovered that the spam is only sent between 6am and 7pm Pacific Time. Coupled with the fact that messages were only sent during weekdays, this suggested that the operation could be part of a business.

The second trait was the IP addresses that were used for this spam run. As noted above, typical snowshoe spam does not return to the same IP addresses. However, analysis into the senders’ IP addresses revealed that the messages were coming from multiple IP addresses that were owned by the same entity. This organization is called “Network Operations Center,” which is based in Scranton, Pennsylvania, and it’s a well-known spam operation.

Last month, this spam operation began to send the same type of spam messages from IP addresses owned by other entities. One of them was “Nth Air, Inc.”. 

Spammers Office 2.png

Figure 2. Spam sample sent from IP addresses owned by other entities, including “Nth Air, Inc

Spammers Office 3.png

Figure 3. Email header snippet showing Nth Air, Inc’s IP address

While a simple online search for “Network Operations Center spam” produced many results discussing spam, a similar search for Nth Air did not have as many results. In fact, the company appears to have been a legitimate WiMAX provider in the past, as seen in this press release. I was unable to find news about the company in recent times, which led me to believe that the organization may no longer exist. However, ARIN records indicated that the company was based in San Jose, California, so I decided to visit its offices in the hopes of finding out more information about the organization.

Spammers Office 4.png

Figure 4. Visiting the building with address listed on Nth Air

I went to the suite that was listed online, but another company was using it.

Spammers Office 5.png

Figure 5. Suite 70 is now occupied by Sutherland Global Services

I called the phone number listed online to no avail. My email to netops@nthair.com bounced back because, “the recipient does not exist.” Bummer.

Since my visit to “Nth Air, Inc” did not work out as planned, I turned to “LiteUp, Inc”.

Spammers Office 6.png

Figure 6. Spam sample from LiteUp, Inc’s IP address

Spammers Office 7.png

Figure 7. Email header snippet showing LiteUp, Inc’s IP address

ARIN listings indicated that the company was located in Berkeley, California, so I went there for a visit. Unfortunately, I was unable to find LiteUp at the listed address.

Spammers Office 8.png

Figure 8. Address listed by LiteUp. It was a motorcycle store instead.

So that makes two instances of spammers using IP addresses owned by companies that do not exist, at least according to ARIN records.

I was unable to meet the spammers, or those who could be assisting spammers, but we are keeping a close watch to ensure that these spam messages do not reach end users’ inboxes.

Twitter ?? 100 ????????????????????

      No Comments on Twitter ?? 100 ????????????????????

先日のスーパーボウルで話題になった Esurance 社のコンテストへの参加者を狙って、詐欺師はさっそく攻撃を仕掛けています。スーパーボウル終了直後に CM を放映した同社は、#EsuranceSave30 というハッシュタグを使って投稿した Twitter ユーザーの中から抽選で 1 名に 150 万ドルを進呈すると発表しました。シマンテックセキュリティレスポンスはその直後から、このコンテストに対する注目度の高さを利用する目的で Esurance 社の偽 Twitter アカウントが大量に作成されていることを確認しました。

偽 Twitter アカウントの多くは、Esurance 社のブランド名のバリエーションとロゴを使って、同社と正規に関連しているように思わせていました。偽アカウントでは、以下のような Twitter 名が使われています。

  • EsuranceWinBig
  • EsuranceGW
  • Essurance
  • Esurrance
  • Esurnace
  • Esuranc

ロゴと画像を使って Esurance 社のアカウントに見せかけようとしているアカウントはほかにもありますが、名前はブランドと無関係です。たとえば @HeIpfulTips というアカウントがあります。この「HeIp」の中の「I」は小文字の「エル」ではなく大文字の「アイ」です。

2012 年 12 月に作成されたこのアカウントは、数千人のフォロワーを集めていますが、コンテスト中に「アカウントピボット」を実行しました。アバター、プロフィール、ヘッダー画像を変更して、Esurance 社のコンテストの一環であるかのように見せかけたのです。このアカウントにはさらに数千人のフォロワーが増え、コンテスト関連のツイートは一晩で 40,000 回以上もリツイートされました。

figure1_15.png
図 1. Esurance 社のコンテストとの関連性を偽装した Twitter アカウント

同日の午後に入ると、Esurance 社のツイートから十分なフォロワーを獲得したからか、このアカウントは再びアカウントピボットを実行して、Life Hacks という名前に戻りました。

figure2_14.png
図 2. Esurance 社に偽装したアカウントは、数千人のフォロワーを獲得後、元の名前に戻った

これと同類のアカウントの多くは、リツイートやフォロワーを獲得することを特に目指しましていますが、シマンテックはそれ以上の悪用があることを確認しています。たとえば、Esurance 社を騙る偽アカウントの中には、コンテストの勝率を上げるためと称してフォロワーに寄付金を募るものもありました。

figure3_9.png
図 3. コンテストの勝率を上げると称して寄付金を募る Twitter アカウント

この活動はただちに閉鎖されましたが、その時点ですでに 261 ドルの寄付金が集まっていました。

こうしたアカウントは、フォロワーにフィッシングリンクを送りつけ、コンテストの参加者を増やすために Twitter にログインするよう求めるためにも使われている可能性があります。

そもそも、このようなアカウントが作成された目的は何なのでしょうか。コンテストの人気やそのハッシュタグに便乗することで、一部のアカウントは 1,000 人から 100,000 人ものフォロワーを集めました。その後、これらのアカウントの所有者は、本当の Twitter フォロワーを集めているアカウントを探し求めている個人に、偽のアカウントを売ることができます。そして、アフィリエイトスパムに利用されるのかもれしません。

マーケティングの目的で Twitter を利用するブランドが増えていますが、「認証済み」あるいはブランドに公式に関連付けられている Twitter アカウントからのコンテストルールを探して、その更新情報をフォローするようにしてください。今回の場合、Esurance 社は Web サイトに公式ルールFAQ を公開しています。

Twitter 上でユーザーの誤解を誘おうとしている疑いがあるアカウントは、Twitter 社に報告してください。

ソーシャルメディア詐欺について詳しくは、シマンテックセキュリティレスポンスチームの Twitter アカウント(@threatintel)をフォローし、Twitter 詐欺に関するこれまでのブログもお読みください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Million Dollar Twitter Contest Hijacked by Scammers

Scammers are taking advantage of recent Super Bowl social buzz in a scheme which target entrants of an Esurance contest. The company premiered a commercial following Super Bowl, where they offered US$1.5 million dollars to one lucky Twitter user who used the hashtag #EsuranceSave30.  Following this, Symantec Security Response has observed a number of fake Esurance Twitter accounts being created to leverage the attention generated by this contest.

Many of these Twitter accounts used variations of Esurance’s brand name and logo to convince users they are affiliated with the company. These accounts include the following Twitter handles:

  • EsuranceWinBig
  • EsuranceGW
  • Essurance
  • Esurrance
  • Esurnace
  • Esuranc

There are also other accounts that use logos and imagery making them look like they belong to Esurance, but their names have nothing to do with the brand. An example is an account named @HelpfulTips, whereby the “l” in Help is the capitalized letter “i”.

This account, created in December 2012, has racked up thousands of followers but performed an “account pivot” during the contest–it changed its avatar, bio and header image, and claimed to be part of the Esurance giveaway. The account added thousands of Twitter followers and received more than 40,000 retweets for a tweet related to the contest overnight.

figure1_15.png
Figure 1: Twitter account which claims to be associated with the Esurance giveaway

Earlier this afternoon, it performed yet another account pivot–after gaining enough followers from the Esurance tweets, it reverted back to a LifeHacks account.

figure2_14.png
Figure 2: Fake Esurance account pivots back after gaining thousands of followers

Many accounts of such nature focus on gaining retweets and followers, but Symantec has identified further abuse. For example, one of the fake Esurance accounts has asked its followers to donate money to increase their chances of winning the contest:

figure3_9.png
Figure 3. Twitter account asks for donations to increase their chances of winning the contest

This campaign was shut down quickly, but already  received US$261 in donations by then.

These accounts could also be used to send phishing links to followers, asking them to login to Twitter to earn more entries in the contest.

Why are these accounts being created in the first place? By riding on the popularity of the contest and the hashtag, some of these accounts have gained anywhere between 1,000 to 100,000 followers. After that, the owners of these accounts are able to sell these fake accounts to individuals who are looking for accounts with real Twitter followers instead of fake ones. This can then be used for affiliate spam.

As more brands use Twitter for marketing purposes, Symantec advises users to look for and follow updates and contest rules from Twitter accounts that are “verified” and/or officially associated with the brand.  In this case, Esurance has provided a set of official rules and frequently asked questions on their website.

If you suspect an account is attempting to mislead users on Twitter, you can report the account to Twitter.

To learn more about social media scams, follow Symantec Security Response team on @threatintel and read our blogs on previous Twitter scams:

????: ????????????

      No Comments on ????: ????????????
中国では今、新年を迎える準備に沸いています。今年は 1 月 31 日の新月から午年が始まります。世界中で 10 億を超える人々が旧暦の新年を祝うことになり、今年の祝賀行事はこれまで以上に華やかなものになるでしょう。
 
中国の新年は春節とも呼ばれ、この日は感謝祭のように皆が集まり、お祝いの最中にプレゼントの交換が行われます。友人や家族、同僚のほか取引先ともプレゼントを交換して、親愛、敬意、忠義の気持ちを表します。事業主が顧客に贈り物をしたり、お店が日頃の感謝を込めてプレゼントやディスカウントを提供することもよくあります。しか、スパマーもこの慣習を十分すぎるほど熟知しています。
 
スパマーや詐欺師は特別な機会に便乗し、贈り物という素晴らしい習慣を悪用してスパムを送りつけてきます。彼らは友人や事業主の振りをして、プレゼントやディスカウントを謳う電子メールを送り、無防備な人々の気を引こうとします。
 
シマンテックは、有名企業を装って中国の新年を悪用したスパムを確認しています。このスパムメッセージは受信者の博愛心に訴えかけ、愛する人へのプレゼントとして、その企業の商品を勧めています。
 
サンプル
translated.png
図 1. スパムメッセージの件名
 
翻訳
件名: [企業名] から皆様へ、あけましておめでとうございます。
 
 
email_0.png
図 2. 午年にちなんだ中国語のスパムメールのプレビュー
 
翻訳
ご挨拶
 
巳年の終わりも近づき、午年がすぐそこまで来ています。いよいよ新年が始まり、何もかもが新たにスタートを切ります。新年を迎えるにあたり、[商品名] より心からの敬意と感謝を込めて、お客様とご家族にお祝い申し上げます。皆様のご健康とご多幸をお祈りいたします。
 
今後ともご愛顧のほどお願いいたします。皆様にとって素晴らしい新年になりますように!
 
[企業名]
2014 年 1 月
 
このスパムメールの件名には、会社を代表して顧客への挨拶が書かれています。本文には、祝賀の雰囲気を盛り上げるような楽しい画像のプレビューが含まれています。このメッセージを読んだ人が贈り物を買う際に同社の商品を選ぶことを狙って、企業名を記憶させようとしています。
 
シマンテックでは過去にも、中国の新年にちなんだ各種のスパムを確認してきました。中でも最も目立つのが、偽のプレゼントやディスカウントを謳ったスパムです。もう 1 つ重大なスパムに分類されるのが詐欺メールです。たとえば、借金を完済して良い新年を迎えられると思い込ませる、ローンや仕事を案内する偽の電子メールなどが挙げられます。このようなスパムメールはすべて、世界中に広がる中国人社会の強い伝統と価値観につけ込んだものです。
 
中国の新年のお祝いは 1 月 31 日に始まり、元宵節を祝う満月の日まで 15 日間続きます。この元宵節の際にも、同様のスパムが増えるものと予測されます。
 
新年のお祝いは、スパマーがユーザーを標的にする恰好の機会です。スパマーの罠に引っ掛からないためにも、新年にちなんだ迷惑メールは開かないようにしてください。
 
午年が皆様にとって最高の年になりますよう、お祈り申し上げます。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

‘Xin Nian Kuai Le’: Spammers Say Happy New Year

China is gearing up to usher in the Year of the Horse, which begins with the new moon on January 31 this year. With more than a billion people worldwide preparing to celebrate the new year for the lunar calendar, the celebration this year promises more color than ever before.
 
Chinese New Year, also known as the spring festival, is a day for reunion and thanksgiving, where exchanging gifts is at the heart of the celebration. Friends, family, colleagues and even businesses exchange gifts to show love, respect and loyalty. Business owners often send gifts to their customers and shops offer gifts and discounts to show their gratitude. However, spammers are all too aware of this practice.
 
The spammers and fraudsters are known to capitalize on special occasions and exploit the noble gesture of giving gifts in order to send out spam. They are known to pose as friends and business owners and send emails promising gifts and financial offers to attract unsuspecting victims. 
 
We’ve observed spam that exploits Chinese New Year by pretending to be from a reputed company. The spam message appeals to the recipient’s benevolence, asking them to give the company’s products as gifts to loved ones.
 
Sample
translated.png
Figure 1. The subject of the spam message
 
Translation
Subject: [COMPANY NAME] wish users, a happy new year.
 
 
email_0.png
Figure 2. Preview of the Chinese spam email related to the Year of the Horse
 
Translation
Greeting all customers,
 
As the year of the golden snake is coming to an end, year of lucky horse right at our door steps! It’s the beginning of a new year, everything is a new start! As we are about to approach the new year, [PRODUCT NAME] would like to send our greeting to you and your family with utmost respect and well wishes! We wish you a happy and healthy new year!
 
Thanks for your continuous support to the company. We wish you a great Year of the Horse. Happy New Year!
 
[COMPANY NAME]
2014 January
 
The spam sample in discussion has the subject line greeting the customers on behalf of the company. The body contains an image preview which looks cheerful to spread the holiday feeling. The message tries to make the name of the company linger in the minds of the readers so that they may consider its products while gift shopping.
 
In previous years, Symantec had observed a variety of Chinese New Year spam. The most prominent among them promoted fake gift offers and discounts. Scams formed another significant spam category, which included loan offers and job offers, making people think they can pay off any debt they may have and get a good start in the new year. All these spam emails were devised to exploit the strong traditions and values of the Chinese community worldwide.
 
The Chinese New Year festivities commence on January 31 and will continue for 15 days until the full moon, when Lantern Festival is celebrated. We can expect more spam of a similar nature during this  time.
 
The New Year festival is a good opportunity for the spammers to target users. The best practice to avoid falling into the spammers’ traps is to be wary of opening unsolicited new year themed emails.
 
We wish you all the very best in the Year of the Horse!

??????? .zip ?????

      No Comments on ??????? .zip ?????
スパマーは、長らく途絶えていた古い手法を再び使い始めています。.zip ファイルを添付し、ユーザーを欺いて圧縮形式のマルウェアを実行させるという手口です。以下のグラフは、.zip ファイルが添付されたスパムメッセージが、シマンテックの Global Intelligence Network(GIN)で過去 90 日間にわたって検出された件数を示しています。
 
figure1_6.png
図 1. .zip が添付されたスパムメッセージの過去 90 日間にわたる検出件数
 
1 月 7 日を見ると、シマンテックの GIN に届いた .zip 添付スパムのうち 99.81% が、「BankDocs-」の後に 10 桁の 16 進数が続く形式のファイル名でした。
 
figure2_7.png
図 2. 「BankDocs-」で始まるファイル名の .zip が添付された電子メール
 
翌 1 月 8 日になると、99.34% が、「Invoice-E_」の後に 10 桁の 16 進数が続くファイル名になりました。
 
figure3_3.png
図 3. 「Invoice-E_」で始まるファイル名の .zip ファイルが添付された電子メール
 
さらに翌 1 月 9 日には、98.94% が、「Early2013TaxReturnReport_」の後に 10 桁の 16 進数が続くファイル名になります。
 
figure4_2.png          
図 4. 「Early2013TaxReturnReport_」で始まるファイル名の .zip ファイルが添付された電子メール
 
そして 1 月 10 日には、98.84% が「[ブランド名は編集済み]_December_2013_」の後に 10 桁の 16 進数が続くファイル名でした。
 
figure5_0.png
図 5. 「[ブランド名は編集済み]_December_2013_」で始まるファイル名の .zip ファイルが添付された電子メール
 
これらの例は、ファイル名と MD5こそ異なっていますが、すべて同じマルウェアが仕掛けられており、シマンテックはこれを Trojan.Zbot として検出します。Trojan.Zbot は、侵入先のコンピュータから機密情報を盗み出すことを主な目的としたトロイの木馬です。
 
1 月 10 日以降、スパム量は通常レベルに戻っているので、大規模な攻撃は今のところ沈静化しているようですが、スパマーがまた大きな攻撃活動を仕掛けるのは時間の問題でしょう。ウイルス対策ソフトウェアは常に最新の状態に保ち、不明な送信者から届いた添付ファイルは開かないようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????

      No Comments on ???????????????????????

詐欺師がインターネットユーザーの気の緩みを狙うのは、特に驚くことでもありません。

シマンテックは、ホリデーシーズン後の数日間にわたって、新たにマルウェアが増加していることを確認しました。休暇が終わると、重要なメッセージを見逃していないかどうかを確かめるために、多くのユーザーがツールや電子メールを確認します。スパマーはそこを狙って、ユーザーが電子メール中の悪質なリンクをクリックすることに期待を掛けているのです。

今回の一連の攻撃では、スパマーはユーザーが緊急性の高い電子メールを開いて返信しようとするところを狙っています。実際にそうすると、マルウェアがユーザーのコンピュータに感染し、機密データが盗み出されてしまいます。

私自身も先週、有名なオンラインストアから送信されたように偽装した配達不能通知を受け取りました。休暇で留守にしていた間に、いくつか荷物を届けることができなかったという内容です。

最初は、何も注文していないのになぜこのような通知が届いたのかいぶかり、ひょっとしたら思いがけないプレゼントなのかもしれないと考えました。しかし、電子メール中のリンクをクリックする前にステータスバーを確認したところ、そのリンクは詐称されたもので、さらに電子メールで使われている言葉遣いや文法上の誤り(図 1 を参照)を見て、疑惑は確信に変わりました。

figure1_10.png

図 1. 文法上の誤りと悪質なリンクが含まれたスパムメール

同様に、スパマーが別の有名ブランドに偽装し、請求書に見せかけて悪質なリンクを埋め込んでいる電子メールも受け取りました。幸い、正規のブランドで使われているテンプレートとは違いがあり、偽装した電子メールのヘッダーはまったく無関係のものでした。さらに調べてみると、埋め込まれているリンクにはマルウェアが仕掛けられていました。図 2 に示すように、スパムには乗っ取られた URL が使われています。
 
figure2_9.png
図 2. 配達不能通知に見せかけた別のスパムメール

さらには、見ず知らずの人の葬儀に招待する電子メールも受け取ったことがあります。私はまず、その家族を知っていたか、または大学時代の友人だった、あるいは近所に住んでいたかどうか確認し始めましたが、そのうち電子メール中のリンクが悪質なものであることに気が付きました。

figure3_5.png
図 3. 葬儀を案内するスパムメール

こうしたスパムメールに対して、ユーザーは 2 つの方向からアプローチする必要があります。警戒しながら電子メールをふるいに掛けることと、詐欺師の間違いを見抜けるようになることです。

こういったスパムメールでは、文法上の誤りや、文構造の不備が多く、ある小売業者に偽装しておきながら電子メールヘッダーはその競合他社になっているといった偽装戦術の失敗も見受けられます。乗っ取られたドメインと URL を順々に使い回す手口も使われますが、それが偽装したブランドや企業と無関係という場合もあります。

ホリデーシーズン後の憂鬱な気分を乗り越える一方で、電子メールを扱う際には警戒を怠らず、休暇ぼけを詐欺師に悪用されないように注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。