Tag Archives: spain

?????? RAT

      No Comments on ?????? RAT

寄稿: Roberto Sponchioni

シマンテックセキュリティレスポンスは最近、Alusinus という新しいリモートアクセスツール(RAT)を発見しました(Backdoor.Alusins として検出されます)。これは、スペイン語圏のアンダーグラウンド向けのプログラムで、ビルダー自体はいくつかの標準機能を備えた単純なものですが、その中に興味深く、特筆に値する機能が 1 つあります。このビルダー機能により、Backdoor.Alusins は検出をすり抜けやすくするために、calc.exe、svchost.exe、notepad.exe といった正常なプロセスに自身をインジェクトすることができます。
 

Spanish RAT 1.png

図 1. Backdoor.Alusins のコントロールパネル – ユーザー名、コンピュータ名、ウイルス対策やファイアウォールの情報が攻撃者に報告される
 

リアルタイムのデスクトップ監視
攻撃者は、Backdoor.Alusins を使って、被害者のデスクトップを表示し、ユーザーの活動をリアルタイムで監視することができます。
 

Spanish RAT 2 edit.png

図 2. 侵入先のコンピュータのデスクトップ表示
 

Web カメラの監視
また、リアルタイムで Web カメラの動作の監視とキャプチャが可能です。
 

Spanish RAT 3.png

図 3. Web カメラのセッション
 

キーロガー機能
さらに、Backdoor.Alusins には、ログイン情報などを盗み出すために、侵入先のコンピュータ上のキーストロークをリアルタイムで監視する機能もあります。
 

Spanish RAT 4.png

図 4. キーロガー
 

迷惑行為
攻撃者は、この RAT を使って、システムエラーメッセージをカスタマイズして被害者に直接メッセージを送ることができます。このメッセージ送信機能によって、悪質ないたずらやリモートからの迷惑行為が引き起こされる恐れがあります。攻撃者はいつでも、被害者に煩わしいメッセージやポップアップを送信し、同時に Web カメラを通じて被害者の反応を観察できるからです。このツールの作成者は、対話型のオンライン詐欺を想定してこの機能を実装した可能性もあります。
 

Spanish RAT 5.png

図 5. 侵入先のコンピュータで任意のエラーメッセージを表示できる
 

加えて、Backdoor.Alusins を使えば攻撃者は侵入先のコンピュータで以下の処理を実行することも可能です。

  • プロセスを監視する
  • Web ページを開く
  • 光学ドライブを開閉する
  • セッションを終了する
  • インストールされているプログラムを表示する
  • すべてのサービスを表示する
  • ファイルをダウンロードして実行する
  • リモートホストに接続してコマンドを受信する
  • Windows レジストリを表示する
  • インストールされているファイアウォールのタイプとバージョンを取得する
  • インストールされているウイルス対策ソフトウェアのタイプとバージョンを取得する
  • コンピュータ名、ユーザー名、IP アドレス、オペレーティングシステムのバージョン、言語といったシステム情報を抽出する
  • プロセスのリスト(PID とそれに対応するプロセス名)を取得する
  • 指定したユーザー名とパスワードを使って電子メールを送信する
  • Pidgin や Filezilla のユーザー名とパスワードを盗み出す
  • システムプロセスを表示または終了する

Backdoor.Alusins はそれほど普及している RAT ではなく、スペイン語圏のハッカー層を対象としていますが、それに限定されるものではありません。シマンテックは、このバックドアビルダーとバックドアを Backdoor.Alusins として検出します。

この RAT やその他の脅威から保護するために、ウイルス対策定義、オペレーティングシステム、およびソフトウェアを常に最新の状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????? 2013 ??????

      No Comments on ????????????? 2013 ??????

寄稿: Vivek Krishnamurthi

国際的なダンス競技会である「ダンスグランプリヨーロッパ」が 6 月 12 日からスペインで開催されます。この競技会は、さまざまなダンススクールのトップダンサーを披露することを目的として開催される大きなイベントであり、世界中のダンサーたちを惹きつけてやみません。スパマーも同じようにこの舞台に注目し、詐欺メールを拡散する機会を狙っています。
 

image1_0.jpeg

図 1. ダンスグランプリヨーロッパ 2013 を利用したスパム
 

ユーザーの関心を引こうとして、スパムメールでは、このイベントで人気を呼びそうな内容を紹介したうえで、参加費用は「格安」で追加料金もいっさい不要と謳っています。URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。
 

dancescam-fake2.png

図 2. 海賊版の Web サイト。正規サイトと似ているが、連絡先情報(緑の線で囲まれた部分)が異なる
 

dancescam-real.png

図 3. オリジナルの正規のイベント Web サイト
 

注目に値するのは、偽の Web サイトに信憑性を持たせるために、オンラインの訪問者を観測するウィジェットをページの左下に追加し、オンラインユーザー数と称してランダムな数字を表示している点です。このスパム攻撃の主な動機は、ユーザーを誘い出してその個人情報や口座情報を手に入れることにあります。十分に注意を払い、リンクはクリックしないようにしてください。

このスパム攻撃で確認されている件名の例を以下に挙げます。

  • 件名: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.(ダンスグランプリヨーロッパ、2013 年 6 月 12 日から 16 日まで開催。世界中のダンススクールやグループが競う)
  • 件名: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.(グランプリはスペインで開催。ダンススクールとグループのための競技会、2013 年 6 月 12 日から 16 日まで)
  • 件名: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!(ダンスグランプリヨーロッパ、2013 シーズン開幕のお知らせ! ホリデーシーズンを前に、記念すべき「2013 ダンス年」を祝してあなた自身にも、スクールやグループにも贈り物はいかがですか。ヨーロッパダンス競技会の参加予約は、今すぐ!)

ダンスグランプリヨーロッパ 2013 にちなんだ迷惑メールや心当たりのない電子メールの扱いには注意して、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでも、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、24 時間 365 日の態勢でスパムを監視しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Scammers Take Advantage of Dance Grand Prix Europe 2013

Contributor: Vivek Krishnamurthi

The International Dance Competition “Dance Grand Prix Europe” is set to begin June 12 and will be hosted in Spain. The purpose of the competition is to showcase all the top dancers from various dance schools and this major event attracts choreographic talent from around the world. Spammers also don’t want to miss this event and the opportunity to circulate a scam.
 

image1_0.jpeg

Figure 1. Dance Grand Prix Europe 2013 spam
 

To grab the reader’s attention, the spam email reveals some appealing facts about the event along with “only a little fee” required but no additional charges for participation in the event. Clicking the URL will automatically redirect the user to a website containing a bogus offer.
 

dancescam-fake2.png

Figure 2. Pirated website looks like original, changed contact information (green box)
 

dancescam-real.png

Figure 3. Original and legitimate event website
 

Interestingly, to trick users into trusting the fake website, spammers also added a widget at the bottom left of the page that monitors online visitors and displays a random number of users online. The main motive of these spam campaigns is to lure recipients and acquire their personal and financial information. Users should be careful and avoid clicking the links.

Some of the subject lines observed in this spam campaign include the following:

  • Subject: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.
  • Subject: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.
  • Subject: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!

Symantec advises users to be cautious when handling unsolicited or unexpected emails related to the Dance Grand Prix Europe 2013 and to update antispam signatures regularly. Symantec also monitors spam attacks around-the-clock to ensure users are kept up to date on the latest threats.