Tag Archives: phishing

???????????????????????????

      No Comments on ???????????????????????????

現在、ケニアのテロ攻撃に関するニュースを悪用するスパムが増えています。スパマーがユーザーに送りつける電子メールメッセージは、あたかもテロ攻撃に関するニュースのように見えますが、実際にはマルウェアが含まれています。スパムメールのメッセージ本文には悪質な URL が含まれており、その URL をクリックすると、W32.Extrat をダウンロードする感染した Web ページにリダイレクトされます。

マルウェアが実行されると、以下のファイルが作成される可能性があります。

  • %Windir%\installdir\server.exe

これにより、攻撃者はユーザーのパスワードを盗み出して、重要なファイルやユーザーに関する情報にアクセスできるようになります。

Kenya.png

図. .exe ファイルをダウンロードするよう求めるスパムメールのスクリーンショット

この電子メールには「Click HERE to view & watch」というメッセージが書かれており、ウエストゲートモールで起きたテロ攻撃のビデオや画像を見るためにリンクをクリックするよう促しています。リンクをクリックすると、感染した Web ページが開き、Web ページが読み込まれると、「Kenya terror Video.exe」ファイルをダウンロードするよう求めるポップアップが表示されます。この実行可能バイナリファイルは W32.extrat という名前の一般的な形式のマルウェアです。ダウンロードすると、ユーザーのコンピュータ上の脆弱性が悪用される恐れがあります。スパマーは、このテロ攻撃に関する情報を探している大勢のユーザーを誘い込むための罠として、ビデオと画像が見られると謳っているのです。

このスパムメールでは、以下のような件名が使われています。

  • Official: Kenya mall attackers Video(公式: ケニアのモールで起きたテロ攻撃のビデオ)

このスパムメールに含まれる悪質な URL のサンプルを以下に示します。

  • http://[削除済み].[削除済み].com/u/210772057/Kenya terror Video.rar

シマンテックのエンドポイント保護テクノロジでは、この種の悪質なサイトがシマンテックにまだ報告されていない場合でも、サイトを予防的に検出し、特定することができます。シマンテックでは、ノートン アンチウイルスノートン インターネットセキュリティといった、ウイルス対策やスパム対策のテクノロジが組み込まれた製品によって、この種の攻撃からお客様を保護しています。

シマンテックは、この攻撃で使われているマルウェアを W32.Extrat として検出します。

悪質な攻撃を防ぐために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 疑わしい電子メールメッセージに含まれる添付ファイルを開いたり、リンクをクリックしたりしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • セキュリティソフトウェアを常に最新の状態に保つ。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Use Kenya Terrorist Attack to Spread Malware

Spammers are now leveraging news around the Kenya terror attack by targeting users through an email message that claims to contain news on the attack but if fact contains malware. The spam email includes a malicious URL in the body of the message that …

???????????????????

      No Comments on ???????????????????

今、世界中で見出しを賑わせているニュースといえば、新年度予算が成立しなかったことを受けて、米国政府機関の一部業務が停止していることでしょう。サイバー犯罪者は、これまでも社会情勢をいち早く悪用してきましたが、この政府機関の業務停止にも目を付けて、さまざまなスパムメッセージを送り始めています。そうしたスパムメッセージが、Symantec Probe Network でも検出され始めました。確認されたスパムサンプルの大多数は、自家用車やトラックの在庫一掃セールを宣伝するものです。メールに記載されている URL をクリックすると、偽の広告が掲載された Web サイトに自動的にリダイレクトされます。

US_Gov_Spam.png

図 1. 米政府機関の業務停止を題材にしたスパムメール

シマンテックが確認したメッセージでは、ランダムな電子メールヘッダーが使われており、スパム対策用のフィルタをすり抜けようとしているものと考えられます。今回のスパム攻撃で使われているヘッダーには、一目で区別できるものもあります。

  • 件名: Half-off our autos for each day the US Govt is shut down(政府機関の業務が停止している間は毎日、自動車が半額)
  • 件名: Get half off MSRP on new autos for each day of govt. shut down(政府機関の業務が停止している間は毎日、自動車が希望小売価格の半額)
     
  • 差出人: [名前] <shut.down@[削除済み]>
  • 差出人: [名前] <short.term@[削除済み]>
  • 差出人: [名前] <very.limited@[削除済み]>
  • 差出人: [名前] <limited.event@[削除済み]>

スパムメッセージに記載されているリンクでは、以下のようなパターンが確認されています。

  • [ドメイン名]/[ランダムな文字]govt-shut[ランダムな数字]do.wn_event[ランダムな数字]

迷惑メールや心当たりのない電子メールの扱いにはご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、スパム攻撃に対して厳重な監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Take Advantage of US Government Shutdown

The latest news making headlines around the world is about the partial shutdown of the US government, which failed to agree on a new budget. Ever quick to take advantage of a situation, cybercriminals have begun to send various spam messages related to…

?????????????????

      No Comments on ?????????????????
フィッシング詐欺師がフィッシング用のサイトを本物のサイトとそっくり同じに偽装しようとすることは、よく知られています。JavaScript を使って静的なページに現在の日付を埋め込むなど、これまでにも多種多様な手口が確認されています。シマンテックは最近、汎用的なフィッシングメールが増えていることを発見しました。通常のフィッシングでは標的を想定するのが普通ですが(銀行の顧客、ソーシャルネットワークのユーザーなど)、汎用的なフィッシングメールの手口は少し変わっています。それは、相手を問わず任意の電子メールアドレスを標的にするということです。
 
たいていの場合、この汎用的なフィッシングメールでは、受信ユーザーのメールボックスが容量の上限を超えたとして、電子メールの消失を避けるために至急メールボックスを「再有効化」するよう指示します。先日シマンテックが特定した汎用的なフィッシングメールの Web サイトも、一見すると正規のサイトのようです。素人仕事のような外見(フィッシング詐欺師がデザインスキルに乏しく、プロの手によるサイトを真似られないことの証です)ではあるものの、ある意味では際立っています。背景が魚の絵のパターンになっているからです。
 
phish_site_with_fish_600px.jpg
図. 汎用的なフィッシング Web サイトの背景に描かれた魚のパターン
 
特にこの背景を選んだフィッシング詐欺師の意図はわかりません。たまたま起きた残念なミスかもしれませんし、フィッシング詐欺師の内輪だけで通じるジョークなのかもしれません。あるいは、これが本当はフィッシングサイトであると、意味のわかるユーザーにだけ通じる大胆で露骨なヒントのつもりとも考えられます。それとも、サイトの一部がイタリア語で書かれていることから、この詐欺師は「フィッシング(phish)」と「魚(fish)」が類似していることを知らなかったのでしょうか。
 
フィッシング詐欺から保護するために、アカウントが制限されているなどと理由をつけて更新の必要性を訴えるようなメッセージには注意してください。また、セキュリティソフトウェアは常に最新の状態に保つようにしてください。Symantec.cloudSymantec Messaging Gateway をお使いの方は、こうした脅威から保護されています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Would You Like Some Fish with That Phishing Site?

      No Comments on Would You Like Some Fish with That Phishing Site?
Phishers are known for making their phishing sites look exactly like the sites they are spoofing. We have seen plenty of examples of the detail they employ, like using JavaScript to include the current date in their static pages. In recent times, Symantec have seen an increase in generic email phishing. Unlike normal phishing, where phishing messages usually have a target in mind (bank customers or social network users, for instance), the generic email phishing technique is slightly different. In generic email phishing, the phishers will target any email address; who the target is does not matter.
 
These generic phishing messages usually claim that the recipient’s mailbox size has been exceeded, and direct them to urgently “re-validate” their mailbox to prevent disruption to their email. Symantec recently identified a generic email phishing website which, at first glance, appeared normal. It looked fairly amateurish—demonstrating phishers’ poor design skills when they don’t have a professional site to rip off—but the site was strikingly unusual for one reason: it had a fish pattern background.
 
phish_site_with_fish_600px.jpg
Figure. Generic phishing website with fish pattern background.
 
We are not sure exactly why phishers decided to use this particular background. Was it a random, unfortunate mistake? An inside joke among fellow phishers? Or perhaps a brazen but not-so-subtle hint to experienced users that it was actually a phishing site? Perhaps—since the site is partially in Italian—the phishers were unaware of the similarity between “phish” and “fish”?
 
To protect yourself from phishing scams, be wary of messages claiming that your account has been restricted or somehow needs to be updated. Keep your security software up to date. Symantec.cloud and Symantec Messaging Gateway customers are protected from these threats.

??????????????????????

      No Comments on ??????????????????????

寄稿: Binny Kuriakose

シリア危機を私利私欲のために悪用するスパムが後を絶ちません。赤十字社から送信されたように偽装した詐欺メッセージを利用するほか、シリアのニュースを扱った電子メールも悪用されています。スパマーは、ランダムな URL を含む悪質なメッセージを仕掛けて、危殆化した悪質な Web サイトにユーザーを誘い込もうとします。この Web サイトには不明瞭化された JavaScript コードがホストされており、そのコードによってトロイの木馬 Downloader.Ponik がダウンロードされます。

Downloader.Ponik が実行されると、以下のファイルが作成されます。

  • %TEMP%\[ランダムな文字のファイル名].bat
  • %UserProfile%\Local Settings\Application Data\pny\pnd.exe

これらのファイルが、ペイロードである悪質な実行可能ファイルをインジェクトすると、攻撃者はパスワードや重要な情報を盗み出せるようになります。

電子メールの件名は、メッセージの本文とまったく無関係な内容です。

Completed: Please DocuSign this document : Confidential Company Agreement 2013..pdf(完了: この文書に DocuSign で署名してください: Confidential Company Agreement 2013..pdf)

電子メールの本文には以下のようなデータが含まれ、「http://xxxxx.xxx.xx/xxxxx/index.html」というパターンで URL が埋め込まれています。

Syria email 1 edit.png

図 1. スパムメールの内容

ほとんどの攻撃で悪用されているのは、ユーザーのコンピュータでまだ更新されていない、またはパッチが適用されていない脆弱性です。ソフトウェアとウイルス対策定義は常に最新の状態に保つことをお勧めします。また、疑わしいリンクをクリックしたり、送信元の不明なファイルを開いたりしないようにしてください。

シマンテックでは、スパマーから送信されるこのような攻撃から保護するために、定期的にセキュリティ更新を提供しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Setup Fake Surgical Strikes on Syria

      No Comments on Spammers Setup Fake Surgical Strikes on Syria

Contributor: Binny Kuriakose
Spammers continue to leverage the crisis in Syria for their personal gain. Besides taking advantage of a scam message that claimed to be from The Red Cross, spammers are now taking advantage of emails about the news in Syri…

??????????????: ????????????????????

      No Comments on ??????????????: ????????????????????

francophone_comicstrip.png

2013 年 4 月、フランスに本拠を置く多国籍企業のバイスプレジデント秘書の元に 1 通のメールが届きました。メールには、大手のファイル共有サービスにアップロードされている請求書へのリンクがありました。数分後、同じ秘書に別のバイスプレジデントから電話がかかり、その請求書を調べて処理するよう指示がありました。バイスプレジデントは毅然とした口調で完璧なフランス語を話しましたが、実はこの請求書は偽物で、バイスプレジデントと名乗って電話をかけてきた人物が攻撃者でした。

請求書と言われたファイルの正体はリモートアクセス型のトロイの木馬(RAT)で、ウクライナにあるコマンド & コントロール(C&C)サーバーにアクセスするように設定されていました。攻撃者は RAT を使ってこの秘書のコンピュータに侵入し、キーストロークを記録する、デスクトップをのぞき見る、ファイルを参照して手に入れるといった直接制御に成功したことになります。

電子メールを送りつけた直後に流暢なフランス語で電話をかけるという今回の戦術はきわめて異例であり、ソーシャルエンジニアリングの先鋭化が見てとれます。シマンテックセキュリティレスポンスが、ヨーロッパの組織を標的にするこのタイプの攻撃について初めての例を詳しくお伝えしたのは、2013 年 5 月のことでした。その後の調べで、この攻撃の詳細な手口がわかってきました。動機は金銭の詐取で、攻撃は今もなお続いています。

 

大胆な手口

多くの企業と、その取引先である銀行は、不正な送金を防ぐための防御手段を講じています。しかし攻撃者は、その防御ラインをひとつひとつ打破するために、さらに大胆なソーシャルエンジニアリングの手口を繰り出すようになりました。たとえば、ある手口は以下のように実行されました。

  • 攻撃者はまず、RAT を使って企業内のシステムに侵入します。
  • システムが RAT に感染すると、攻撃者は企業の取引先銀行や通信プロバイダを特定できる情報(ディザスタリカバリ計画を含む)、プロバイダと銀行の担当者の連絡先やアカウントデータを取得します。
  • このデータを使うと攻撃者は企業の担当者に偽装することができ、契約先の通信プロバイダに電話します。攻撃者は通信プロバイダに身元を証明し、物理的な災害が発生したと説明して自社の電話番号をすべて転送するよう依頼しますが、その転送先は攻撃者の管理下にある電話です。
  • 電話番号の転送に続いてすぐ、攻撃者は企業の取引先銀行に FAX を送り、多数の海外口座への高額な電信送金をいくつも依頼します。
  • この取引が異常であることから、銀行の担当者は記録にある企業の番号に電話をかけ、取引を確認します。この電話も攻撃者に転送され、攻撃者は取引を承認します。
  • 複数の海外口座への電子送金が実行され、その資金は他の口座や金融機関を経てロンダリングされます。

別の例では、攻撃者は送金のために社内の専用システムを使う必要がありました。2 段階認証としてドングルが使われているためです。この攻撃の手順は以下のとおりです。

  • 攻撃者は、IT スタッフに偽装して被害者に電話をかけ、送金システムの一部でシステムメンテナンスが必要になったと連絡します。
  • このとき攻撃者は、顧客の個人情報保護を盾にとって、メンテナンスの実行中はコンピュータの画面をオフにしておく必要があると説明します。
  • モニターがオフになっている間に、攻撃者は被害者の持つ有効なアクセス権を使って社内システムを操作し、海外口座への高額な送金を実行します。

また別の例では、攻撃者はマルウェアをまったく使いませんでした。この攻撃の手順は以下のとおりです。

  • 攻撃者は行員の 1 人に偽装して実際の行員に電子メールを送信し、銀行のコンピュータシステムがアップグレードされると連絡します。このメールは申し分のないフランス語で書かれています。
  • 翌日、攻撃者は電子メールを送信した相手に電話をかけ、同じ銀行の同僚であると名乗ったうえで電信送金の「テスト」を依頼します。
  • 「テスト」と称された電信送金で、実際には海外口座に資金が送られてしまいます。

 

被害状況

攻撃に関する調査によると、被害を受けたのはフランスに拠点を置く数社の企業でした。攻撃者の目的は、企業の会計部門または同等の部門から海外口座に電信送金させることにありました。

Franco1.png

図 1. フランス語話者による金銭詐取攻撃の標的となった業種

ほとんどの場合、最初の被害者は企業内の秘書または会計士でした。最初の被害者が送金の権限を持たない場合、攻撃者はその被害者の資格情報を使って、会計部門の中で送金の権限を持つ従業員を探し出します。攻撃者は、さらに次のソーシャルエンジニアリング行為によって、個人のコンピュータに侵入を果たしていました。

 

移動しながらの攻撃

電子メールと C&C のトラフィックを調べたところ、攻撃者はイスラエルに拠点を置いている、またはイスラエルを経由して攻撃を行っていることが判明しました。しかし、発信元 IP アドレスがイスラエルにあるというのは普通ではありません。イスラエル国内通信会社の携帯電話加入者のネットブロック内にあるからです。そして、この攻撃が実際にはモバイルネットワークから発信されていること、しかも攻撃者が MiFi カードを使っているという重大な事実も、トラフィック解析で確認されました。

operation_of_C&C_server.png

図 2. フランス語話者による金銭詐取攻撃の C&C トラフィック

MiFi カードは、GSM セルラー無線機(GSM 電話と同等)であり、携帯電話ネットワークを通じてコンピュータシステムにインターネットアクセスすることができます。そのため、MiFi カード用の GSM SIM カードをバザーや個人販売で現金購入すれば、攻撃者は匿名性を確保できることになります。全世界の 3G プロバイダの多くは、プリペイド方式のデータ通信プランを用意しており、購入するとき身元証明が不要です。したがって、通信記録から個人を特定されることはありません。

さらに驚くべきことに、トラフィック解析からは、この攻撃者が攻撃を実行しながら常に移動していたことまで判明しています。このような防衛技術を利用されてしまうと、攻撃者の追跡はきわめて難しくなります。サイバー犯罪にこのような技術が使われるというのは、攻撃者が用いる手口がますます巧妙になっていることの表れです。移動中の MiFi カードを発見するには、特殊な機器を使う常駐の人物が待機する必要があり、通信プロバイダからも情報の援助を受けて MiFi カードの位置を検算しながら特定しなければなりません。

フランス語話者による金銭詐取は、サイバー犯罪者の活動がさらに高度になりつつあることを示す好例であり、この傾向は今後も続くと見込まれます。

今回の調査にご協力くださった Computer Emergency Response Team of Ukraine(CERT-UA)に感謝の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Francophoned – A Sophisticated Social Engineering Attack

In April 2013, the administrative assistant to a vice president at a French-based multinational company received an email referencing an invoice hosted on a popular file sharing service. A few minutes later, the same administrative assistant received …