ESET recently blogged about a targeted cyber/espionage attack that appears to be originating from India. Multiple security vendors have been tracking this campaign. The attack appears to be no more than four years old and very broad in scope. Based on …
As the urban legend goes, the bank robber Willie Sutton was asked why he robbed banks. “Because that’s where the money is,” he is attributed as saying. While Sutton has long since distanced himself from the statement, the concept resonates with many people, to the extent that it’s been used to describe principles in accounting and even medicine.
This principle also holds true in the world of Internet security. In the latest version of the Internet Security Threat Report we discussed the major trends in the spam world, where the percent of spam email continues to decline while more and more social networks are being targeted. Given the growth of social networking in recent years as a means to communicate, this comes as no surprise—it’s where the users are.
We’ve previously talked about how scammers are not only going after users on the most well-known social networks, as they have for years, but have begun targeting users on other networks, such as Instagram and Pinterest. Another popular social network has found itself in the crosshairs of spammers recently. The growth in popularity of Tumblr, particularly with younger Internet users, has also drawn the attention of spammers.
We’ve come across a spam campaign that is utilizing a feature on Tumblr similar to the type of commenting you might see on blogs or other social networks. Tumblr calls this feature “Ask,” where your followers can ask you questions, which can appear on your Tumblr blog. The feature is disabled by default, but you can enable it in your account settings and even allow anonymous comments. Spammers are attempting to take advantage of this feature to peddle their wares.
“WOW, I just lost a bunch of weight using the OFFICIAL TUMBLR DIET!! Are u using it as well? Check it out at [REMOVED][d0t]com”
Figure 1. Spam message utilizing Tumblr’s Ask feature
Clearly, there’s no such thing as an official Tumblr diet. Instead, the URL provided in the spam message leads to a website that mimics a popular health magazine, espousing the benefits of a new diet pill.
Figure 2. Fake health magazine site promoting diet pill
The page is full of information about a “miracle pill,” along with testimonials and offers linking to sites where the user can get some. If the user clicks through, they are brought to an order page. However, the site appears to have a limited supply. Stock is set to run out, coincidentally, the same day the user is visiting the page.
Figure 3. Diet pill order page
The user is asked for a number of personal details, such as name, address, phone number, and email. The site will eventually ask for your credit card details as well.
Figure 4. Diet pill payment page
We don’t know for sure if the site will actually send you genuine diet pills that contain the supposed miracle ingredient, fake pills claiming to have it, or if the site will just make off with your credit card details. Regardless, we do not recommend attempting to purchase goods through offers like this.
This spamming technique is not limited to diet pills either. Other scams, such as the one below, attempt to play at a user’s desire to make money. In this case they don’t even bother to ask a question—skirting the primary purpose of Tumblr’s Ask feature altogether.
“I made $300 yesterday by Internet marketing and I’m looking at at least $450 today. So yeah. You need to do this. I found out about it from this news article on CBS. I’m just excited to share this with you because it actually freakin works! Tumblr won’t let me post a link but if you want to read up and start making some money then head over to [REMOVED] [d0t] cоm – Spread this to fellow tumblree’s and tumblrette’s and lets get out of this recession together!”
The link in this case leads to a fake news page espousing a great way to make money from home, then to a page that asks for the same personal details as the scam above. In this case, besides gather personal details, it’s possible that the scammers here could be looking for cybermules—another precarious scam that is best avoided.
Figure 5. Page promoting “make money from home” scheme
What’s disconcerting about this scam is that Ask questions do not appear on Tumblr blogs by default, as traditional comments can. Instead, a user has to make the effort to answer the Ask, at which point both the question and the answer will appear on their Tumblr blog. Granted many users are answering these Asks sarcastically, while others do so with annoyance, seeing it as the spam it is. While we don’t suggest doing this, what’s perhaps most worrying is that some users actually go as far as to thank the Anonymous poster for the information, seemingly falling for the ruse. Regardless of how the user responds, the messages remain online, and anyone perusing these Tumblr blogs could feasibly visit the sites mentioned on their own accord.
It’s difficult to determine the number of Asks these spammers are sending out, but we have encountered hundreds of instances when looking into the issue. Since Anonymous Asks do not require a Tumblr account to submit, and determining if a Tumblr blog has the feature enabled is easily scriptable, spammers could easily send large volumes.
To its credit, Tumblr has implemented an Ignore feature, where you can block the account, IP, and/or computer sending them. Overall, this spam should be treated in just the same way as any other Ask or comment-related spam: do not answer such submissions, do not visit the URLs provided, and do not give any personal details to less-than reputable websites.
Since the beginning of the year, a Japanese one-click fraud campaign has continued to wreak havoc on Google Play. The scammers have published approximately 700 apps in total since the end of January. The apps are published on a daily basis and the scam…
ここ数週間で、「ペニーストック」関連のスパムメールが急増していることが確認されています。2011 年に「世界的な信用危機のニュースで株価操作詐欺が急増」というタイトルのブログを公開しましたが、そこでもこの種のスパムに触れています。
ペニーストック(セントストックとも呼ばれます)とは安値で取引される小型株のことで、1 株あたり数セントで取引されることも珍しくありません。ペニーストックは、スパマーによって頻繁に利用されています。スパムメールで安値の株を宣伝し、「この会社はもうすぐ大成功するから株価が急騰する」と謳うのです。そこには、会社が実際よりも価値が高く、何らかの目玉商品が完成したか、あるいはもうすぐ大躍進を遂げるはずであり、株価の急騰が予想されると書かれています。この手の詐欺の目的は、株の人気をつり上げ、その結果株価が上がったところで、持ち株を購入時よりもはるかに高い値段で売り抜けることです。このような株価操作詐欺の手法を「パンプアンドダンプ」と呼びます。
株に関連したスパムで利用されている手法には、単語の間に空白を挿入する、不要な改行で不明瞭化する、電子メールの件名や本文にランダムな文字を挿入するなど、さまざまなものがあります。
図 1. ペニーストック関連のスパムメール
シマンテックでは、次のグラフに示すように、株に関連したスパムの量が増えていることを確認しています。
図 2. 株に関連したスパムメールの量の傾向
こういった攻撃で頻繁に見られるメールの件名として、次のようなものがあります。
迷惑メールや心当たりのない電子メールには注意し、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでは、このような「パンプアンドダンプ」スパム攻撃を厳重に監視しており、この傾向の監視を続けて読者の皆さまに最新の情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
今月のマイクロソフトパッチリリースブログをお届けします。今月は、33 件の脆弱性を対象として 10 個のセキュリティ情報がリリースされています。このうち 11 件が「緊急」レベルです。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
マイクロソフトの 5 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-May
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
MS13-037 Internet Explorer 用の累積的なセキュリティ更新プログラム(2829530)
Internet Explorer の解放後使用の脆弱性(CVE-2013-1306)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
JSON 配列の情報漏えいの脆弱性(CVE-2013-1297)MS の深刻度: 重要
Internet Explorer に情報漏えいの脆弱性が存在するため、攻撃者は JSON データファイルにアクセスしてその内容を読み取れる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1309)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1307)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1308)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1310)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-0811)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1311)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-2551)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1312)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1313)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
MS13-038 Internet Explorer 用のセキュリティ更新プログラム(2847204)
Internet Explorer の解放後使用の脆弱性(CVE-2013-1347)MS の深刻度: 緊急
削除されたオブジェクト、または正しく割り当てられていないオブジェクトに Internet Explorer がアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が Internet Explorer における現在のユーザーのコンテキストで任意のコードを実行できる場合があります。攻撃者は Internet Explorer を介して、この脆弱性の悪用を目的として特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。
MS12-039 HTTP.sys の脆弱性により、サービス拒否が起こる(2829254)
HTTP.sys サービス拒否の脆弱性(CVE-2013-0005)MS の深刻度: 重要
HTTP プロトコルスタック(HTTP.sys)が悪質な HTTP ヘッダーを正しく処理しないことが原因で、Windows Server 2012 と Windows 8 に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受ける Windows サーバーまたはクライアントに特別に細工した HTTP ヘッダーを送信し、HTTP プロトコルスタックに無限ループを発生させる可能性があります。
MS13-040 .NET Framework の脆弱性により、なりすましが行われる(2836440)
XML デジタル署名のなりすましの脆弱性(CVE-2013-1336)MS の深刻度: 重要
Microsoft .NET Framework が特別に細工された XML ファイルの署名を正しく検証できない場合に、なりすましの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、ファイルに関連付けられている署名を無効にせずに XML ファイルの内容を変更できる可能性があります。
認証回避の脆弱性(CVE-2013-1337)MS の深刻度: 重要
カスタム WCF エンドポイント認証を設定するとき、Microsoft .NET Framework が認証のためのポリシー要件を正しく作成しないために、セキュリティ機能回避の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、認証された場合と同じようにエンドポイント機能にアクセスし、情報を盗み出したり、認証されたユーザーと同様の操作を行ったりできる可能性があります。
MS13-041 Lync の脆弱性により、リモートでコードが実行される(2834695)
Lync RCE の脆弱性(CVE-2013-1302)MS の深刻度: 重要
Lync コントロールがメモリ内の削除済みのオブジェクトにアクセスしようとする場合に、リモートコード実行の脆弱性が存在します。攻撃者は、Lync または Communicator セッションで特別に細工されたコンテンツを起動するように標的のユーザーを誘導することにより、この脆弱性を悪用する可能性があります。攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーと同じユーザー権限を取得する可能性があります。
MS13-042 Microsoft Publisher の脆弱性により、リモートでコードが実行される(2830397)
Publisher の負の値割り当ての脆弱性(CVE-2013-1316)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher のインターフェースポインタの破損の脆弱性(CVE-2013-1318)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher の整数オーバーフローの脆弱性(CVE-2013-1317)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher のバッファオーバーフローの脆弱性(CVE-2013-1320)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher の戻り値処理の脆弱性(CVE-2013-1319)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher の戻り値検証の脆弱性(CVE-2013-1321)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher の無効な範囲チェックの脆弱性(CVE-2013-1322)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher の誤った NULL 値処理の脆弱性(CVE-2013-1323)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher の符号付き整数の脆弱性(CVE-2013-1327)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher のポインタ処理の脆弱性(CVE-2013-1328)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Publisher のバッファアンダーフローの脆弱性(CVE-2013-1329)MS の深刻度: 重要
Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
MS13-043 Microsoft Word の脆弱性により、リモートでコードが実行される(2830399)
Word の図形破損の脆弱性(CVE-2013-1335)MS の深刻度: 重要
Microsoft Word が Word ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
MS13-044 Microsoft Visio の脆弱性により、情報漏えいが起こる(2834692)
XML 外部エンティティ解決の脆弱性(CVE-2013-1301)MS の深刻度: 重要
外部エンティティを含む特別に細工された XML ファイルを Microsoft Visio が解析する方法に、情報漏えいの脆弱性が存在します。
MS13-045 Windows Essentials の脆弱性により、情報漏えいが起こる(2813707)
Windows Essentials の不適切な URI 処理の脆弱性(CVE-2013-0096)MS の深刻度: 重要
特別に細工された URL を Windows Writer が適切に処理できない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、Windows Writer のプロキシ設定が無効にされ、標的システム上でユーザーがアクセスできるファイルが上書きされる可能性があります。
MS13-046 カーネルモードドライバの脆弱性により、特権が昇格される(2840221)
DirectX グラフィックカーネルサブシステムにダブルフェッチの脆弱性(CVE-2013-1332)MS の深刻度: 重要
Microsoft DirectX グラフィックカーネルサブシステム(dxgkrnl.sys)がメモリ内のオブジェクトを適切に処理しない場合に、特権の昇格の脆弱性が存在します。
Win32k のバッファオーバーフローの脆弱性(CVE-2013-1333)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、システムが不安定になる場合があります。
Win32k のウィンドウハンドルの脆弱性(CVE-2013-1334)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、昇格した特権で任意のコードを実行できる場合があります。
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Avdhoot Patil
Celebrity scandals are always popular and phishers are keen on incorporating them into their phishing sites. Recently, we observed a phishing site featuring British singer and actress Rita Ora. The phishing site was hosted on…
In the last few weeks we have observed a drastic increase in “penny stock” spam emails. In 2011 Symantec published a blog entitled Global Debt Crises News Drives Pump-and-Dump Stock Scams, which also dealt with this type of spam.
Penny stocks, also known as cent stocks, are shares in small companies that trade at low prices, often as low as a few cents per share. Penny stocks are a very popular topic used by spammers. The spam emails advertise the cheap shares and state that the company is on the verge of becoming very successful and that the value of the shares will rise significantly. The emails make out that the company is more valuable than it actually is and implies that they have just created some major product or are on the verge of a breakthrough and that the share value is tipped to rise dramatically. The aim is to increase sales of the stock, which in turn raises the value, then the fraudster can sell their penny stocks for significantly more than they paid for them. This stock fraud method is known as “pump and dump.”
We are seeing various spam methods being used in stock spam such as broken words, obfuscation with irrelevant line spaces, and insertion of randomized characters in the header or body of the emails etc.
Figure 1. Penny stock spam emails
Symantec is observing an increase in spam volume related to stock spam, which can be seen in the below graph.
Figure 2: Volume trend of stock spam email
Below are the most frequently observed subject lines in these attacks:
Symantec advises users to be cautious when handling unsolicited or unexpected emails and to update antispam signatures regularly. Symantec is closely monitoring these “pump and dump” spam attacks and will continue monitoring this trend to keep our readers updated.
Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing 10 bulletins covering a total of 33 vulnerabilities. Eleven of this month’s issues are rated ’Critical’.
As always, customers are advised to follow these security best practices:
Microsoft’s summary of the May releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-May
The following is a breakdown of the issues being addressed this month:
MS13-037 Cumulative Security Update for Internet Explorer (2829530)
Internet Explorer Use After Free Vulnerability (CVE-2013-1306) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
JSON Array Information Disclosure Vulnerability (CVE-2013-1297) MS Rating: Important
An information disclosure vulnerability exists in Internet Explorer that could allow an attacker to gain access and read the contents of JSON data files.
Internet Explorer Use After Free Vulnerability (CVE-2013-1309) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-1307) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-1308) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-1310) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-0811) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-1311) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-2551) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-1312) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-1313) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
MS13-038 Security Update for Internet Explorer (2847204)
Internet Explorer Use After Free Vulnerability (CVE-2013-1347) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.
MS13-039 Vulnerability in HTTP.sys Could Allow Denial of Service (2829254)
HTTP.sys Denial of Service Vulnerability (CVE-2013-1305) MS Rating: Important
A denial of service vulnerability exists in Windows Server 2012 and Windows 8 when the HTTP protocol stack (HTTP.sys) improperly handles a malicious HTTP header. An attacker who successfully exploited this vulnerability could trigger an infinite loop in the HTTP protocol stack by sending a specially crafted HTTP header to an affected Windows server or client.
MS13-040 Vulnerabilities in .NET Framework Could Allow Spoofing (2836440)
XML Digital Signature Spoofing Vulnerability (CVE-2013-1336) MS Rating: Important
A spoofing vulnerability exists when the Microsoft .NET Framework fails to properly validate the signature of a specially crafted XML file. An attacker who successfully exploited this vulnerability could modify the contents of an XML file without invalidating the signature associated with the file.
Authentication Bypass Vulnerability (CVE-2013-1337) MS Rating: Important
A security feature bypass vulnerability exists in the way that the Microsoft .NET Framework improperly creates policy requirements for authentication when setting up custom WCF endpoint authentication. An attacker who successfully exploited this vulnerability would have access to the endpoint functions as if they were authenticated, allowing an attacker to steal information or take any actions in the context of an authenticated user.
MS13-041 Vulnerability in Lync Could Allow Remote Code Execution (2834695)
Lync RCE Vulnerability (CVE-2013-1302) MS Rating: Important
A remote code execution vulnerability exists when the Lync control attempts to access an object in memory that has been deleted. An attacker could exploit the vulnerability by convincing a target user to accept an invitation to launch specially crafted content within a Lync or Communicator session. An attacker who successfully exploited this vulnerability could gain the same user rights as the current user.
MS13-042 Vulnerabilities in Microsoft Publisher Could Allow Remote Code Execution (2830397)
Publisher Negative Value Allocation Vulnerability (CVE-2013-1316) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Corrupt Interface Pointer Vulnerability (CVE-2013-1318) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Integer Overflow Vulnerability (CVE-2013-1317) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Buffer Overflow Vulnerability (CVE-2013-1320) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Return Value Handling Vulnerability (CVE-2013-1319) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Return Value Validation Vulnerability (CVE-2013-1321) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Invalid Range Check Vulnerability (CVE-2013-1322) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Incorrect NULL Value Handling Vulnerability (CVE-2013-1323) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Signed Integer Vulnerability (CVE-2013-1327) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Pointer Handling Vulnerability (CVE-2013-1328) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Publisher Buffer Underflow Vulnerability (CVE-2013-1329) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Publisher parses Publisher files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS13-043 Vulnerability in Microsoft Word Could Allow Remote Code Execution (2830399)
Word Shape Corruption Vulnerability (CVE-2013-1335) MS Rating: Important
A remote code execution vulnerability exists in the way that Microsoft Word parses content in Word files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS13-044 Vulnerability in Microsoft Visio Could Allow Information Disclosure (2834692)
XML External Entities Resolution Vulnerability (CVE-2013-1301) MS Rating: Important
An information disclosure vulnerability exists in the way that Microsoft Visio parses specially crafted XML files containing external entities.
MS13-045 Vulnerability in Windows Essentials Could Allow Information Disclosure (2813707)
Windows Essentials Improper URI Handling Vulnerability (CVE-2013-0096) MS Rating: Important
An information disclosure vulnerability exists when Windows Writer fails to properly handle a specially crafted URL. An attacker who successfully exploited the vulnerability could override Windows Writer proxy settings and overwrite files accessible to the user on the target system.
MS13-046 Vulnerabilities in Kernel-Mode Drivers Could Allow Elevation Of Privilege (2840221)
DirectX Graphics Kernel Subsystem Double Fetch Vulnerability (CVE-2013-1332) MS Rating: Important
An elevation of privilege vulnerability exists when the Microsoft DirectX graphics kernel subsystem (dxgkrnl.sys) improperly handles objects in memory.
Win32k Buffer Overflow Vulnerability (CVE-2013-1333) MS Rating: Important
An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could cause system instability.
Win32k Window Handle Vulnerability (CVE-2013-1334) MS Rating: Important
An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could execute arbitrary code with elevated privileges.
More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.
2013 年 4 月、シマンテックは、ヨーロッパの限定された組織を標的として高度なソーシャルエンジニアリング攻撃が続いているという警告を受け取りました。一連の攻撃で最も際立った特徴は、従業員または業務関係者になりすました攻撃者からの電話を被害者が受けているという点です。電話口の相手はフランス語で話し、電子メールで送信した請求書を処理してほしいと依頼してきます。
この攻撃で送られてきた電子メールの例を以下に示します。電子メールには通常、悪質なリンクが記載されているかファイルが添付されており、添付ファイルの正体はリモートアクセス型のトロイの木馬(RAT)、W32.Shadesrat の亜種です。
図 1. スピア型フィッシング攻撃の電子メール
この攻撃は、2013 年 2 月には始まっていたことを示す証拠がありますが、フィッシングメールが送られてくるよりも前に電話がかかってくるようになったのは、ごく最近の 4 月になってからです。この攻撃は現在、フランスの企業に合わせてローカライズされていますが、フランス国外で営業している子会社も標的になっています。
図 2. 感染した組織の国別の数
攻撃者が、攻撃に先立って被害者のメールアドレスと電話番号を入手していたことは明らかであり、その意味で準備は万端です。この攻撃で被害者になる傾向があるのは、企業の経理部門や財務部門に勤務する従業員です。請求書の処理が日常的な業務の一環なので、このワナが説得力を持ったとしても不思議ではありません。攻撃の各段階では慎重な計画を要しますが、ひとたび計画できれば最終的な攻撃の成功率は高くなります。
図 3. 攻撃の一連のサイクル
今回の攻撃者の動機は、金銭の詐取以外に考えられません。企業の経理部門に勤務する従業員を標的にすれば、重要な会計情報にアクセスできる確率は高くなります。こうした従業員は、企業を代表して取引を処理する権限を持っている可能性もあるので、従業員がオンライン取引や大切な銀行口座情報に必要なセキュリティ証明書にアクセスできるとしたら、これほど価値のある標的はありません。このような従業員が、さらにソーシャルエンジニアリング攻撃を続けるために必要な情報源になってしまうことも考えられます。請求書や契約書からは、万全の攻撃を実行し続けるために必要なあらゆる情報(電子メール、電話、関連する購買/販売契約など)が手に入ります。
このような攻撃は現在までに増え続けていることから、企業は高度なソーシャルエンジニアリング攻撃に対してさらに厳重な警戒が必要です。攻撃者が限られた情報しか持っていない場合でも、電話で質問を重ねれば請求の正当性を判断できる可能性があります。また、個人を特定できる従業員情報が社外に保管されている場合には、たとえ請求書という形にすぎなくても、業務関係者が侵入を受けたときには不利な材料になってしまうことを意識してください。機密性の高い情報を扱う従業員は、そういった情報を安全な場所に必ず暗号化して保管すべきです。そのうえで、アクセスする際には、完全にパッチ適用済みで万全のセキュリティ対策を実施済みのコンピュータを使うようにしてください。
今回の攻撃に使われたトロイの木馬は、リモートアクセス型のトロイの木馬(RAT)、W32.Shadesrat です。W32.Shadesrat(別名 Blackshades)は、さまざまな攻撃者に利用されており、そのスキルレベルも多様です。一般に入手できるトロイの木馬であり、ライセンス料は年間 40~100 ドル程度です。2012 年 6 月には、FBI が世界的に展開していたおとり捜査の一環として、Blackshades プロジェクトの関係者のひとり、Michael Hogue(通称「xVisceral」)が逮捕されました。しかし、この RAT は依然としてさかんに開発が続いており、短期間で一掃される気配すらありません。
図 4. W32.Shadesrat の感染件数(重複を数えず): 上位 10 カ国
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
過去数カ月間、Web サーバーが改ざんされ、そこでホストしているすべての Web サイトに悪質なリダイレクト機能がインジェクトされるケースの増加が確認されています。このブログで以前にご報告した悪質な Apache モジュール(Linux.Chapro と Trojan.Apmod)もその一例でした。新たな例としては Linux.Cdorked があり、これについてはセキュリティ企業 ESET 社もブログ記事を掲載しています。
Linux.Cdorke の場合、悪質な Apache モジュールを設定リストに追加するのではなく、メインの httpd バイナリファイルを、改ざんしたバージョンに置き換えます。これにより、Linux.Cdorke は特殊な要求に反応し、応答を改ざんできるようになります。
http デーモンファイルを改ざんすることによって、昔ながらの逆接続シェルを通じて、または完全に共有メモリに格納されている設定を変更する特殊な HTTP 要求を通じて、制御が可能になります。要求文字列から解析されるコマンドトークンとしては、”DU”、”ST”、”T1″、”D1″ など 23 種類が特定されています。これらのコマンドが共有メモリのセクションを改ざんし、ブラックリストやリダイレクト先アドレスを変更したり、その他の機能を実行したりします。Linux.Cdorke の最大の狙いは、すでに述べたように、ホストされているあらゆる Web サイトにアクセスしたユーザーを別のサイトにリダイレクトすることです。このリダイレクトで、悪用ツールキットが仕込まれているドライブバイダウンロードのサイトやスパムサイトに誘導し、トラフィックを生成することができます。ブラックリストへの登録をすり抜けるためにリダイレクト先の URL が頻繁に更新されることは、言うまでもありません。
リダイレクトが発生するのは、特定の条件が満たされた場合に限られます。つまり、アクセス元の IP アドレスがブラックリストに載っていないこと、URI が管理ページに関連する特定のキーワードに一致しないこと、ユーザーエージェントがブラックリストに載っていないこと、クライアントに以前リダイレクトしたときの cookie がないこと、という条件があります。管理者のローカル IP アドレスはブラックリストに載っている場合が多く、アクセス先の URI もブラックリストに載っているので、管理者は悪質なサイトにリダイレクトされません。この点でも、Web サイトの管理者が感染を突き止めるのは難しくなります。
図 1. 攻撃の特徴
この攻撃は、たとえば Web サイトのコンテンツ管理システム(CMS)に対する SQL インジェクション攻撃などを利用して悪質な iframe を静的な HTML Web サイトにインジェクトする通常の方法より、明らかに高度なものです。Web ページは処理中に改ざんされるので、ファイルが変更されていないかどうかを検証するために FTP 経由でサーバーにログインしても、改ざんがあったという証拠は得られません。そのレベルでは実際に改ざんは発生していないからであり、感染の痕跡を特定することは困難です。
しかも、この手口は何重にも巧妙になっています。サーバーにホストされている Web サイトはどれもデフォルトで感染しているためで、短時間で多数の被害者が出るおそれがあります。また、設定情報はすべて共有メモリセクションに保管されており、特殊なコマンド要求は Web サーバーのログにも残らないため、Linux.Cdorked はきわめて高いステルス性を備えています。そのため、感染しても長期にわたって見過ごされてしまう可能性があります。このタイプの攻撃は、今後も増えると予測されます。
攻撃者が、この Web サーバーにそもそも最初にどうやってアクセスできたのかという疑問に対しては、多くの答えが考えられます。これまでにも、cPanel や Plesk などの管理フレームワークの脆弱性を悪用することによってアクセスを許してしまった例がありました。もちろん、多くの場合に攻撃者が試すように、これらのパネルや SSH に対してパスワードの推測が実行された可能性もあります。いつものように、管理者はシステムを最新の状態に保ち、監視を続けるようにしてください。MD5 のハッシュ値をベンダーから提供されている正常なバイナリのリストと比較するか、または Debian プラットフォームであれば ‘rpm-verify’ などのコマンドを使って、Web サーバーのバイナリを検証することもお勧めします。ただし、攻撃者がサーバーにアクセスできることを忘れてはなりません。システムに残る痕跡すら改ざんされているかもしれないということです。
シマンテックは、このような悪質なリダイレクト攻撃からお客様を保護するために、IPS とウイルス対策の各種シグネチャを提供しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。