Tag Archives: security

??????Ransomcrypt Trojan ???

      No Comments on ??????Ransomcrypt Trojan ???

Ransomcrypt の作成者は、良心のかけらもないことで知られています。これまでも常に、被害者は脅迫的な要求に支払いで応じ、ファイルを復号してもらうしか選択の余地がありませんでした。しかし、今回出現した Trojan.Ransomcrypt.G では様子が少し違うようです。Trojan.Ransomcrypt.G の作成者が詐欺師であることに違いはありませんが、何らかの行動原理に従っているらしく、身代金を支払わなくても 1 カ月が経過すれば、被害者のファイルを無償で復号すると申し出てきます。このような行動で作成者が無罪放免されるわけではないものの、残念ながらこの詐欺の被害に遭ったユーザーにとっては、一縷の望みと言えるでしょう。

OMG_Fig1.jpg

図 1. Trojan.Ransomcrypt.G によって生成されるランサムウェアファイル「how to get data.txt」の一部

Trojan.Ransomcrypt.G の最初の例は、被害を受けたユーザーから、あるオンラインフォーラムに報告されました。侵入先のシステムでデータファイルを暗号化する、典型的な Ransomcrypt Trojan です。暗号化するファイルの拡張子は、Trojan.Ransomcrypt.G のバイナリファイルに格納されている長大なリストに照合してチェックされます。一般的な種類のデータファイルはほとんど影響を受けますが、完全なリストはこちらを参照してください。暗号化されたファイルには、.OMG! というファイル拡張子が追加されます。たとえば、hello.doc というファイルが Trojan.Ransomcrypt.G によって暗号化されると、hello.doc.OMG! という名前に変わります。

侵入を受けると、暗号化されたファイルと同じディレクトリに「how to get data.txt」というテキストファイルが生成されます。

OMG_Fig2.jpg

図 2. 暗号化されたファイルを含むディレクトリ

このファイルを開くと、暗号化されたファイルとこのテキストファイルを添付して電子メールを攻撃者に送信するようにという指示が書かれています。攻撃者からは、復号された一部のファイルが添付されたメールが返信されてきます。そのメールに、すべてのデータファイルを復号できるロック解除ツールの入手方法が記載されています。

この「how to get data.txt」ファイルの末尾には、通常とは異なる文字列が含まれています。

OMG_Fig3.jpg

図 3. ランサムウェアのファイルに含まれるバイナリ文字列

この文字列が実は、暗号化された暗号鍵と、感染のタイムスタンプ情報のバイナリダンプです。ロック用のこの鍵が、感染したシステムでファイルの暗号化と復号に使われます。鍵は、Windows 標準の暗号化機能を使って、感染したシステム上で動的に生成されます。その鍵を平文で送信するのではなく、Trojan.Ransomcrypt.G のバイナリデータの設定データに含まれる公開暗号鍵(RSA)を使って、ロック用の鍵を暗号化します。攻撃者は対応する秘密鍵を知っているので、それを使ってテキストファイルのバイナリ文字列の解読、ロック用鍵の回復、送られてきた暗号化ファイルの復号を行うことができます。また攻撃者は、暗号化された文字列から感染のタイムスタンプを取り出し、被害者が無償のロック解除ツールを使える期間になったかどうかも判定できます。

Ransomcrypt Trojan では、攻撃者が制御しているサーバーと被害者のシステムとの間のネットワーク通信によって、この種の鍵交換が自動化されているのが普通です。Trojan.Ransomcrypt.G はより単純なアプローチを使っているため、同じ処理を実行する際にユーザーとのやり取りが必要になるのです。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。ファイルは常にバックアップするようにしてください。そうすれば、必要に応じてファイルを復元することが可能です。

シマンテック製品をお使いのお客様は、以下の検出定義によって今回のトロイの木馬から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Android ? RAT ???????? Dendroid

      No Comments on Android ? RAT ???????? Dendroid

ダーウィンの進化論を支える原理のひとつは、変化への適応能力が個体の生存率を高めるという説です。マルウェアの作成者も似たようなもので、技術的な環境や市場が変化するなかで生き残るためには、それらに適応していかなければなりません。以前のブログで、Android 版のリモートアクセスツール(RAT)、AndroRAT(Android.Dandro)と、初のマルウェア APK バインダと考えられる機能についてお伝えしました。それ以来、脅威を取り巻く世界では、こうした脅威の模倣と進化が繰り返されています。なかでも、アンダーグラウンドフォーラムで波紋を広げているのが、Dendroid(Android.Dendoroid)と呼ばれる脅威です。Dendroid という名前には、樹木のような形、あるいは枝分かれする構造という意味があります。

Dendroid_Fig1_0.png

図 1. Dendroid の広告バナー

Dendroid は、ユーザーインターフェースやファームウェアインターフェースがわかりやすいとして出回っている HTTP RAT で、洗練された PHP パネルを備え、アプリケーション APK バインダがパッケージされています。Dendroid で使われている APK バインダには、元の AndroRAT APK バインダの作成者との関連性が見られます。

Dendroid_Fig2_0.png

図 2. Dendroid のコントロールパネル

アンダーグラウンドフォーラムの投稿によると、Dendroid の公式な販売者は「Soccer(サッカー)」と呼ばれています。Soccer は、前例のない豊富な機能と、24 時間 365 日のサポート体制を Dendroid の売りとしており、BTC、LTC、BTC-e、またはその他の決済方法による 300 ドル 1 回払いで販売しています。多様な機能の一部を以下に挙げます。

  • 通話記録を削除する
  • 電話番号に電話を掛ける
  • Web ページを開く
  • 通話などの音声を録音する
  • テキストメッセージを傍受する
  • 写真や動画を撮影してアップロードする
  • アプリケーションを開く
  • 一定期間、HTTP フラッド(DoS)攻撃を開始する
  • コマンド & コントロール(C&C)サーバーを変更する

Dendroid_Fig3_0.png

図 3. Dendroid APK バインダ

上述したように、アンダーグラウンドフォーラムの報告によると、このパッケージに含まれる Dendroid APK バインダは、この APK バインダを作成する際に、元の AndroRAT APK バインダの作成者の力を借りていました。

Android プラットフォームで、リモートアクセスツールの進化はいわば必然でした。Dendroid が作成され、この種の脅威がアンダーグラウンドフォーラムで歓迎されていることから、このようなツールを強力に求めるサイバー犯罪者の市場の存在が裏付けられています。PC プラットフォームでも、Zeus(Trojan.Zbot)や SpyEye(Trojan.Spyeye)といったクライムウェアツールキットは、似たような経緯で始まりました。そして、その使い安さから人気が急上昇し、これを使って実行された犯罪の知名度により悪名を馳せるようになったのです。Dendroid はまだ始まったばかりですが、シマンテックはこれを厳重に監視していく予定です。

常に安全を保つために、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、この脅威を Android.Dendoroid として検出します。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

OMG a Ransomcrypt Trojan with a Conscience!

      No Comments on OMG a Ransomcrypt Trojan with a Conscience!

Ransomcrypt authors are not known to have a conscience, and until now have always left their victims with no way out, other than paying the extortion demand to decrypt their files. This seems to have changed somewhat with the arrival of Trojan.Ransomcrypt.G. While the authors of this malware are still total scammers, they seem to have some principles and offer to decrypt the victim’s files for free after a one month period, even  if the ransom has not been paid. While this behavior does not exonerate the actions of the malware authors, it does leave some light at the end of the tunnel for any unfortunate victims of this scam.   

OMG_Fig1.jpg

Figure 1. “how to get data.txt” snippet from ransom file left behind by Trojan.Ransomcrypt.G

Trojan.Ransomcrypt.G was first reported by affected users in an online forum. It is a typical ransomcrypt Trojan that encrypts data files on the infected system. File extensions are checked against a long list stored in the Trojan binary file. Most common data file types are affected and you can see the full list here. Encrypted files are given an extra file extension, .OMG!, by the Trojan. For example, if the Trojan encrypted the file hello.doc, it would rename it hello.doc.OMG!.

Compromised users may notice a text file called “how to get data.txt” in directories containing encrypted files.

OMG_Fig2.jpg

Figure 2. Directory containing compromised files

This file informs the user that they must send an email to the attacker and attach the text file along with  some encrypted files. The attacker will reply with the decrypted files and instructions on how to obtain the unlocker tool that they can use to decrypt all of their data files.

Users may also notice an unusual string of characters at the end of the “how to get data.txt” file.

OMG_Fig3.jpg

Figure 3. Binary string from ransom file

This string is actually a binary dump of an encrypted cryptographic key and infection timestamp information. This locking key is used to encrypt and decrypt files on the infected system. It is dynamically generated on the infected system using standard cryptographic Windows functions. Rather than sending this key in plaintext, the Trojan encrypts the locking key with a public cryptographic key (RSA) that is included in the configuration data in the Trojan binary data. The attacker knows the corresponding private key and so they can use it to decrypt the binary string in the text file, recover the locking key, and decrypt the encrypted files sent to them by the victim. The attacker can also recover the infection timestamp from the decrypted string and determine if the victim is eligible for the free unlocker tool.

Most ransomcrypt Trojans automate this type of key exchange with network communications between the victim’s system and a server controlled by the attacker. Trojan.Ransomcrypt.G uses a more basic approach that requires user interaction to perform the same operation.

Users should never pay any ransom to have their files decrypted. The latest Symantec technologies and Norton consumer and Symantec enterprise solutions protect against these kinds of attacks. You should always backup your files, that way you can restore them if necessary.

Symantec customers are protected from this Trojan with the following detections:

Do you need your own private Certificate Authority?

      No Comments on Do you need your own private Certificate Authority?

Stronger, resilient Private CA removes risk while lowering costs
On 1 October 2016 in line with the CA/Browser Forum’s Baseline Requirements, publicly trusted SSL certificates can no longer be issued to reserved IP addresses or Internal Server Names.
To overcome this:

1. You can update all your internal servers to use publically resolvable domains names or fully qualified domain names

2. You can set up an internal self-signed certificate authority

3. Or you could use Symantec’s Private CA offering

A key part of Symantec’s Managed PKI for SSL product this allows you to continue to use reserved IP addresses or Internal Server Names utilising Symantec’s Private Certification Authority (CA) that provides a hosted private SSL certificate hierarchy and end-entity certificates specifically built to secure internal servers.

Symantec’s Private CA uses the same solid infrastructure, which has 100% up-time track record* and robust business continuity programs, organisations meaning companies can put aside the security and disaster recovery infrastructure required to develop, store, and secure private keys.

* since 2004

Android RATs Branch out with Dendroid

      No Comments on Android RATs Branch out with Dendroid

Darwinism is partly based on the ability for change that increases an individual’s ability to compete and survive. Malware authors are not much different and need to adapt to survive in changing technological landscapes and marketplaces. In a previous blog, we highlighted a free Android remote administration tool (RAT) known as AndroRAT (Android.Dandro) and what was believed to be the first ever malware APK binder. Since then, we have seen imitations and evolutions of such threats in the threat landscape. One such threat that is making waves in underground forums is called Dendroid (Android.Dendoroid), which is also a word meaning something is tree-like or has a branching structure.

Dendroid_Fig1_0.png

Figure 1. Dendroid advertisement banner

Dendroid has some links to the author of the original AndroRAT APK binder and is a HTTP RAT that is marketed as being transparent to the user and firmware interface, having a sophisticated PHP panel, and an application binder package.

Dendroid_Fig2_0.png

Figure 2. Dendroid control panel

According to postings on underground forums, the official seller of Dendroid is known as “Soccer.” The seller markets Dendroid as offering many features that have never been seen before and comes with 24/7 support, all for a once off payment of $300 to be paid through PayPal, BTC, LTC or BTC-e.  Some of the many features on offer include the following:

  • Delete call logs
  • Call a phone number
  • Open Web pages
  • Record calls and audio
  • Intercept text messages
  • Take and upload photos and videos
  • Open an application
  • Initiate a HTTP flood (DoS) for a period of time
  • Change the command-and-control (C&C) server

Dendroid_Fig3_0.png

Figure 3. Dendroid APK binder

As previously mentioned, according to reports on underground forums, the author of the Dendroid APK binder included with this package had assistance writing this APK binder from the author of the original AndroRAT APK binder.  

The evolution of remote access tools on the Android platform was inevitable. The creation of Dendroid and the positive feedback on underground forums for this type of threat shows that there is a strong cybercriminal marketplace for such tools. On the PC platform, other crimeware toolkits like Zeus (Trojan.Zbot) and SpyEye (Trojan.Spyeye) started off in a similar manner and grew quickly in popularity due to their ease of use and notoriety stemming from the high profile crimes perpetrated as a result of their usage. While this may be early days for Dendroid, Symantec will be keeping a close eye on this threat.

To stay protected, Symantec recommends installing a security app, such as Norton Mobile Security, which detects this threat as Android.Dendoroid. For general safety tips for smartphones and tablets, please visit our Mobile Security website.

Darkmoon ?????????????????????????????????

      No Comments on Darkmoon ?????????????????????????????????

ソチオリンピックはどうやら平穏に幕を閉じたようですが、この一大イベントがテロリストに狙われる可能性についてメディアの注目と懸念が集まっていたことを考えると、サイバー犯罪者がその不安心理を突いて、興味を示しそうなユーザーを標的にしていたのも予想外のことではありません。

開催期間中に、シマンテックはソチオリンピックの話題を餌にした標的型の電子メール攻撃を複数確認しました。確認された電子メール攻撃は Symantec.Cloud サービスによって遮断されています。この攻撃のある例では、標的のユーザーに次のような電子メールが送り付けられました。

figure1_0.jpg

図 1. ソチオリンピックを狙うテロの脅威に関する内容と称する電子メール

この例では、攻撃者はソチオリンピックを狙うテロの脅威を題材にしたソーシャルエンジニアリングの手法を使って、ユーザーを欺こうとしていました。電子メールの作りは素人然としていますが、内容で気を引いてしまえば添付ファイルを開かせるのは簡単かもしれません。被害者がうかうかと添付ファイルを開いてしまうと、コンピュータは Backdoor.Darkmoon に感染します。Darkmoon はよく使われているリモートアクセス型のトロイの木馬(RAT)です。G20 サミットが餌に使われた経緯をお伝えした最近のブログや、2011 年のホワイトペーパー「The Nitro Attacks」(英語)でも解説しているとおり、標的型攻撃に頻繁に使われています。

ソチオリンピックを題材にした別の標的型攻撃では、攻撃者から次のような電子メールが届きました。

figure2.jpg
図 2. ソチオリンピックにおける軍事協力活動に関する内容と称する電子メール

この例でも、攻撃者はソチオリンピックをめぐる軍事協力活動を題材にしたソーシャルエンジニアリングの手法を使っていますが、今回のペイロードは Trojan.Wipbot です。これも、類似の標的型攻撃に関連したトロイの木馬で、Windows の特権昇格のゼロデイ脆弱性を悪用した攻撃で使われていました。

こうした攻撃によって、迷惑メールを受け取った場合に依然として警戒が必要であることが改めて明確になりました。従来の手口が強化されることもあります。標的型攻撃の攻撃者は最新のニュースやイベントをすかさず悪用し、ソーシャルエンジニアリングの成功率を少しでも高くしようとします。今回の攻撃で、標的型の電子メール攻撃が近い将来に一掃される気配はまったくないということも明らかになりました。

このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Sochi Olympics Terrorism Fears Used As Bait for Targeted Darkmoon Campaigns

      No Comments on Sochi Olympics Terrorism Fears Used As Bait for Targeted Darkmoon Campaigns

While the Sochi Winter Olympics may now be over without incident, considering all of the media attention and fears surrounding a potential terrorist attack at the event, it should come as no surprise that cyberattackers were preying on these uncertainties to target potential victims of interest.

During the games, Symantec saw multiple targeted email campaigns that used Sochi Olympics themes to bait potential victims. These observed email campaigns were blocked by our Symantec.Cloud service. In one such campaign, we saw that targets were being sent the following email.

figure1_0.jpg

Figure 1. Email purporting to relate to a terrorist threat at the Sochi Olympics.

In this campaign, attackers were using the social engineering ploy of a terrorist threat at the Sochi Olympics to lure in their victims. While the email does not look professional, the curiosity for the content can still be enough to persuade an individual to open the attachment. If a victim fell prey to opening the attachment, their computer became infected with Backdoor.Darkmoon. Darkmoon is a popular remote access Trojan (RAT) which is often used in targeted attacks, as seen in a recent Symantec blog about how the G20 Summit was used as bait in targeted emails and in the 2011 Symantec whitepaper, The Nitro Attacks.  

In another targeted campaign using the Sochi Olympics theme, we observed the following email that was being sent by an attacker to targets of interest.

figure2.jpg
Figure 2. Email purporting to relate to military co-operation at the Sochi Olympics

Again, as seen in the email, the attackers used the social engineering ploy of military co-operation around the Sochi Olympics. This time, the payload was Trojan.Wipbot. This Trojan is associated with another similar targeted attack campaign, which included an attack that used a Windows zero-day elevation of privilege vulnerability.

These attacks highlight the ongoing need for vigilance when receiving any unsolicited emails. They also reinforce what is already known — targeted attackers are quick to make use of the latest news or events to enhance the chances of success for their social engineering ploy. The campaigns also highlight how targeted email attacks are showing no sign of dissipating anytime soon.

As always, we advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.

?????????????????????????? JRAT

      No Comments on ?????????????????????????? JRAT
Java ベースのリモートアクセスツール(RAT)を使った攻撃も、もはや異例ではなくなりました。過去数年間で広がりを見せ、その後も企業と個人の両方を標的にし続けています。こういった攻撃がこれほど一般化したのも、特に驚くことではありません。RAT によってコンピュータへの感染に成功すると、攻撃者はそのコンピュータを完全に制御できるからです。それだけでなく、この攻撃は理論上、Java が稼働しているあらゆるコンピュータを標的にするので、オペレーティングシステムの種類も限定されません。ほんのいくつかの RAT のソースコードがオンラインで公然と共有されているおかげで、攻撃者は Java RAT を容易に利用することができます。
 
シマンテックは今月、Java RAT(JRAT)を拡散する新しいスパム攻撃を確認しました。攻撃が始まったのは 2014 年 2 月 13 日です。スパムメールの送信者は、支払い証明書を添付したと称して、その受信を確認するようユーザーに求めてきます。
 
Capture_email_figure1.png
図 1. 新しい Java RAT 攻撃で使われているスパムメール
 
添付されているのは、実際には悪質な Paymentcert.jar という名前のファイル(Trojan.Maljava として検出されます)です。このトロイの木馬を実行すると、侵入先のコンピュータに JRAT(Backdoor.Jeetrat として検出されます)が投下されます。RAT は、Windows PC に限らず Linux、Mac OS X、FreeBSD、OpenBSD、さらには Solaris ベースのコンピュータにも感染します。この RAT は以前の標的型攻撃でも確認されており、新しいものではありません。次の画像に示すように、JRAT のビルダーを使うと、独自にカスタマイズした RAT を作成するのが、いかに簡単かわかります。
 
image2_figure2.png
図 2. JRAT のビルダー
 
シマンテックの遠隔測定でこのドロッパーを調べたところ、今回の攻撃はアラブ首長国連邦と英国に特に集中しています。
 
map_figure3.png
図 3. 支払い証明書スパム活動の分布図(2014 年 2 月)
 
今回の攻撃は、特定の個人を標的にしていると考えられます。被害者数が少ないこと、ドロッパーがこの攻撃特有なものであること、コマンド & コントロール(C&C)サーバーが 1 つであること、そしてスパムメールの大部分が個人の電子メールアドレス宛てに送信されていることなど、いくつかの特徴から、これは標的型の性質があると断定できるようです。
 
newchart_figure4.png
図 4. シマンテックの遠隔測定で判明した、2014 年 2 月の攻撃による被害者数
 
迷惑メールや心当たりのない疑わしい電子メールを受信した場合は、十分に警戒することをお勧めします。電子メールの信憑性に疑問がある場合には、けっして返信せず、メッセージ中のリンクをクリックしたり添付ファイルを開いたりしないようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

10 rookie SSL mistakes and how to avoid them

      No Comments on 10 rookie SSL mistakes and how to avoid them
  1. Choosing based on price. Not all certificate authorities (CA) are the same. The security of your certificates depends in part on how secure the CA is, so it pays to choose wisely. In addition, when you’re installing new SSL certificates you need a company that can provide a full range of services and the backup to make the installation go smoothly. (Symantec secures more than one million Web servers worldwide, more than any other Certificate Authority.)
    10-ssl-mistakes-blog-1.png
  2. Not being prepared. Before you apply for a certificate, you will need certain pieces of information. It’s worth having everything ready before you start the process.
  3. Getting the wrong type. There are different kinds of certificates for different types of application. For example, there are certificates for email systems, code signing certificates and more, besides the familiar certificates used on websites. Make sure you choose the right one.
  4. Leaving certificate renewal to the very last minute. It can take a little time to go through the steps required to request and issue a new certificate, especially if you choose Extended Validation, where the CA will need time to authenticate you and your organisation. Starting 2-4 weeks in advance makes sense in most cases this also guards against unseen ‘tech issues’ that might arise too.
  5. Generate a valid CSR. All certificates start with a certificate signing request (CSR) but how you get a valid CSR depends on the software you’re using. Check out this guide to the most popular applications.
  6. Not checking the CSR. Use Symantec’s free CSR checker to make sure you have a valid CSR.
    10-ssl-mistakes-blog-2.png
  7. Not protecting the private key. SSL encryption depends on a private key that unlocks communication to and from your server. Your CA gives you this private key and you install it on your system. Treat it as a valuable asset and don’t share it with more people than necessary or make it easy for unauthorised users to access.
  8. Not testing the certificate. After installation, check the site using Symantec’s certificate installation checker. Also check it on a wide variety of browsers and platforms to make sure it’s working properly.
  9. Not getting help when you need it. If something goes wrong, you can turn to a reputable Certificate Authority like Symantec for help. A good starting point is our support page but you can also contact us directly.
  10. Losing your password. Smart IT managers keep a run book to record the procedures they use so that if they are not around to renew the certificates when they expire, at least their successors know how to do it. Your run book should include the URL, user name and password required to access your CA’s certificate centre (but remember keep this secured and only allow access to those who need to manage the certificates).

For more information on encryption, SSL, and website security download our SSL Explained interactive infographic now.

JRAT Targets UK and UAE in Payment Certificates Spam Campaign.

      No Comments on JRAT Targets UK and UAE in Payment Certificates Spam Campaign.
Java remote access Trojan (RAT) campaigns aren’t rare anymore. Their prevalence has increased in the past few years and they have continued to target both enterprises and individuals. The popularity of these campaigns isn’t surprising, as if an attacker successfully infects a victim’s computer with a RAT, then they could gain full control of the compromised computer. Along with this, these threats aren’t limited to one operating system, as in theory, they focus on any computer that runs Java. Attackers have easy access to Java RATs thanks to the fact that a handful of these RATs’ source code is being openly shared online
 
This month, we have observed a new spam campaign delivering a Java RAT known as JRAT, which started on February 13, 2014. The spam email’s sender claims that they have attached a payment certificate to the message and asks the user to confirm that they have received it. 
 
Capture_email_figure1.png
Figure 1. Spam email as part of the new Java RAT campaign
 
The email actually contains a malicious attachment with the file name Paymentcert.jar, detected as Trojan.Maljava. If the Trojan is executed, it will drop JRAT, detected as Backdoor.Jeetrat, on the compromised computer. The RAT not only affects Windows PCs, but also Linux, Mac OSX, FreeBSD, OpenBSD, and Solaris computers. This RAT is not new, as we have seen it in previous targeted attacks. JRAT’s builder, as seen in the following image, shows just how easy it is for an attacker to create their own customized RAT. 
 
image2_figure2.png
Figure 2. JRAT’s builder 
 
Our telemetry on the dropper shows that the campaign has predominantly affected the United Arab Emirates and the United Kingdom.  
 
map_figure3.png
Figure 3. Payment certificate spam campaign heat map for February 2014
 
This campaign appears to be targeting specific individuals. Certain aspects of the attack seem to confirm the targeted nature of the campaign, such as the low victim numbers, a unique dropper, one command-and-control (C&C) server and the fact that the majority of these spam messages were sent to personal email addresses. 
 
newchart_figure4.png
Figure 4. Number of people affected by the campaign in February 2014, according to our telemetry
 
Symantec advises users to be on their guard when they receive unsolicited, unexpected, or suspicious emails. If you aren’t sure of the email’s legitimacy, then don’t respond to it and avoid clicking on links in the message or opening attachments.