Tag Archives: spam

.avi ? .mp3 ???????????????

      No Comments on .avi ? .mp3 ???????????????
ランダムな YouTube リンクを電子メールの本文に記載し、その URL で .avi または .mp3 の拡張子を使って YouTube を悪用する、新しいスパムの手口が確認されています。以前に「YouTube を騙る医薬品スパマー」というブログでお伝えしたように、医薬品業界もこのスパムの標的になっています。
 
今回の新しいスパムでリンクをクリックすると、偽の医薬品販売サイトにリダイレクトされます。シマンテックが調べたスパムサンプルからは、.avi と .mp3 の拡張子を使った以下のような URL が確認されています。
 
http://www.[削除済み].com/Fox.avi
http://www.[削除済み].com/Yamamoto.avi
http://www.[削除済み].vn/Larue.avi 
http://www.[削除済み].com/McAlear.avi
http://www.[削除済み].ru/87342.mp3
http://www.[削除済み].ru/327182.mp3
http://www.[削除済み].fr/472738.mp3
http://www.[削除済み].com/165137.mp3
 
figure1.png
図 1: .avi 拡張子を使ったスパムメール
 
figure2.png
図 2: .mp3 拡張子を使ったスパムメール
 
figure3.png
図 3: 偽の医薬品販売サイト
 
今回のスパム攻撃で使われている件名の例を以下に示します。
  • 件名: Here Comes the Sun 1969(ヒア・カムズ・ザ・サン、1969 年)
  • 件名: Soldier of Love (Lay Down Your Arms) 1963(ソルジャー・オブ・ラヴ(レイ・ダウン・ユア・アームズ)、1963 年)
  • 件名: For No One 1966(フォー・ノー・ワン、1966 年)
  • 件名: Misery 1963(ミズリー、1963 年)
  • 件名: Lucy in the Sky with Diamonds 1967(ルーシー・イン・ザ・スカイ・ウィズ・ダイアモンズ、1967 年)
  • 件名: From Me to You 1963(フロム・ミー・トゥ・ユー、1963 年)
  • 件名: Look! I found this!(ほら、見つけたよ!)
ドメインはヨーロッパで登録されたもので、サーバーの所在地はウクライナでした。スパム攻撃の YouTube リンクでこのような拡張子を使っているのは、フィルタをすり抜けたうえで、拡張子が表す種類のファイルが開くものと期待させてユーザーを欺くためです。
 
迷惑メールや心当たりのない電子メールには注意し、ウイルス対策のシグネチャを定期的に更新して個人情報が漏えいしないように保護することをお勧めします。シマンテックでは、最新の脅威に関する情報をお届けできるよう、スパム攻撃に対して厳重な監視を続けています。
 
 
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Use of .avi & .mp3 Extension Leads to Pharmacy Spam

Symantec has observed a new spam tactic targeting YouTube using .avi and .mp3 extensions in URLs by placing a random YouTube link in the email content. This spam threat is also targeting the pharmaceutical industry, as we have previously observed in th…

Seguidores de ‘Breaking Bad’ son Blanco de Spam en Twitter

Constantemente los spammers buscan diferentes formas de llamar la atención y llegar a los usuarios de Twitter. En esta ocasión, aprovechándose del gran interés y la creciente expectativa creada alrededor de la serie ‘B…

Craigslist ????? SMS ?????

      No Comments on Craigslist ????? SMS ?????

Craigslist はこれまでも常に、詐欺師が好んでソーシャルエンジニアリングに使う題材でしたが、シマンテックは同サイトの人気を悪用する新たな SMS スパム活動が発生していることを確認しています。この詐欺は、Craigslist の広告に掲載されている電話番号を悪用して、ユーザーを欺いて無償で正規のオープンソースソフトウェアをコンピュータにインストールさせます。このソフトウェアには別のソフトウェアもバンドルされており、詐欺師はこれを利用してアフィリエイトプログラムによって金銭を獲得します。

craigslist_sms_spam_scam02.gif

図. SMS スパムによってリダイレクトされたユーザーがオープンソースソフトウェアをダウンロードさせられる仕組み

この詐欺の第 1 段階では、被害者のデバイスに SMS のテキストメッセージが送信されます。オンラインの調査によると、詐欺師は Craigslist サイトの投稿から電話番号を直接収集し、この詐欺行為に利用しているようです。電話番号の収集を自動化できるスパムツールや収集ツールはアンダーグラウンドのフォーラムで販売されており、珍しいものではありません。

SMS に記載されているリンクをたどると、「Device not compatible. Please view from a desktop or laptop computer.(デバイスが対応していません。デスクトップまたはラップトップコンピュータで閲覧してください)」という情報が表示されます。指示されたとおりに PC からリンク先にアクセスすると、正規のオープンソースソフトウェアである GIMP Viewer をインストールする必要があると説明されます。GIMP をインストールしようとしても、GIMP の公式 Web サイトには移動しません。代わりに別の Web サイトに移動しますが、そこで提供されている GIMP のインストールでは、別のいくつかのソフトウェアと一緒にインストールするオプションが付いています。こういった別のソフトウェアがインストールされると、詐欺師はアフィリエイトの手数料として金銭を獲得できるのです。

今回の詐欺では、ユーザーを欺いて不要なソフトウェアをコンピュータにインストールさせて、アフィリエイトプログラムプログラムを悪用しているだけですが、詐欺師はいつでも手口を変える可能性があり、被害者を騙してマルウェアをインストールさせようとするかもしれません。

このような詐欺の被害に遭わないように、迷惑 SMS メッセージを受信した場合には注意してください。また、信頼できる公式のサイト以外からソフトウェアをダウンロードしたりインストールしたりすることは避けてください。どのようなデバイスにも、ノートン モバイルセキュリティノートン アンチウイルスといった、モバイル用のセキュリティアプリや PC 用のウイルス対策ソフトウェアをインストールすることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Craigslist SMS Spam Scam, with a Twist

      No Comments on Craigslist SMS Spam Scam, with a Twist

While Craigslist has always been a favorite social engineering theme for scammers, Symantec has identified another on-going SMS spam campaign abusing Craigslist’s popularity. The scam tricks users into installing free and legitimate open source software on their PC by leveraging phone numbers posted on Craigslist ads. The software comes bundled with additional software that will allow scammers to make money through affiliate programs. 

craigslist_sms_spam_scam02.gif

FigureHow the SMS spam redirects users to download open source software

The first stage of the scam involves the victim receiving an SMS text message on their device. Online research suggests that the scammers are harvesting phone numbers directly from online Craigslist postings for this scam campaign. The sale of spamming and harvesting tools, which automate the harvest of phone numbers, is common on underground forums.

When a user follows the link provided in the SMS sent to them they are informed: “Device not compatible. Please view from a desktop or laptop computer.” If a user then navigates to the link from their PC, they are informed that they need to install the GIMP Viewer legitimate open source software). Attempting to install GIMP does not take the user to the official GIMP website, but instead to a different website offering to install GIMP with the option to install several other pieces of software. If the additional software is installed, the scammers make money from affiliate commissions.

In this scam users are being tricked into installing unwanted software onto their computers and affiliate programs are being abused by scammers. The scammers could also easily switch tactics and trick victims into installing malware on their computers.

To avoid being a victim of this and other scams, be cautious when receiving any unsolicited SMS text messages and avoid downloading and installing any type of software unless it comes from an official and reputable site. Symantec also recommends users everywhere install a mobile security app and desktop antivirus protection, such as Norton Mobile Security and Norton antivirus.

??????????????????? Twitter ??????

      No Comments on ??????????????????? Twitter ??????

AMC の人気テレビドラマ『ブレイキング・バッド』のファンは、シリーズ最高の評価を得たエピソードの放映直後から、同作についてツイートすると新たな手口の Twitter スパムに狙われるようになっているようです。

これまで何年間も、スパマーや詐欺師は Twitter の返信機能を悪用してきましたが、今度は Twitter ユーザーの注目を引く新しい方法を探してきました。現在使われている最も新しい手口は、リストスパムと呼ばれるものです。

Twitter のリストは、Twitter ユーザーが集約されたグループで構成され、ユーザーは自分でリストを作成したり、他のユーザーが作成した既存のリストを購読したりできます。スパマーは、この機能を利用して Twitter ユーザーの注意を引き付けようとしているのです。

最近の Twitter リストスパムでは、有名人の電話番号から無料のギフトカード、デバイス、テレビゲームまで、さまざまなワナが使われています。
 

Breaking Bad 1.png

図 1. 『ブレイキング・バッド』を悪用する Twitter スパムアカウント
 

この週末には、『ブレイキング・バッド』の今シーズン最終話直前のエピソードである「Granite State」が放映されます。『ブレイキング・バッド』は非常に好評で、筆者のようなファンは放送日である日曜日を指折り数えて待っています。スパマーはその人気に便乗し、ユーザーを欺いて次回エピソードの海賊版コピーをダウンロードさせようと試みます。
 

Breaking Bad 2.png

図 2. 『ブレイキング・バッド』スパムで使われている Twitter リスト
 

Twitter リストスパムは、すでに多数のユーザーが登録されているリストに登録されるところから始まります。このタイプのスパムでは、リスト作成者のページにアクセスしてスパムリンクを閲覧する必要がありますが、今回はリストの説明文中に URL が示されています。
 

Breaking Bad 3.png

図 3. Pastebin にファイルホスティングサービスへのリンクが記載されている
 

その URL は Pastebin にリンクしており、そこに別のファイルホスティングサービスへの URL が記載されていてエピソードをダウンロードできるようになっています。
 

Breaking Bad 4.png

図 4. 『ブレイキング・バッド』のエピソードがアップロードされているファイルホスティングサービス
 

このファイルホスティングサービスに、ユーザーがダウンロードできる 280MB のファイルがあります。また、P2P ダウンロードを使ってエピソードを入手するための torrent ファイルをダウンロードするオプションも使えます。
 

Breaking Bad 5.png

図 5. アーカイブに含まれているファイル
 

ダウンロードした Zip には、2 つのファイルが含まれています。「How To Open – READ FIRST.txt」という名前のテキストファイルと、サイズの大きいファイル(300MB 近い)です。

Breaking Bad 6.png

図 6. Readme テキストファイルに短縮 URL に記載されている
 

大きい方のファイルを開くために、ユーザーは最新バージョンの 7-Zip をダウンロードするように指示されます。そのリンクからは、アフィリエイトプログラムを通じてサイトに誘導されます。詐欺師が金銭を獲得する仕組みは、これだったのです。アフィリエイトプログラムは、他のアプリケーションにバンドルされているインストーラにユーザーを誘導しますが、ユーザーはそのアプリケーションをインストールしない選択もできます。
 

Breaking Bad 7.png

図 7. 『ブレイキング・バッド』シーズン 5、エピソード 12
 

最終的にこのファイルのインストールは必要ありません。ビデオファイルは他のメディアプレイヤーでも再生できるからです。また、結局ダウンロードされるのは、このシーズンの前半のエピソードですが、これも特に驚くことではありません。
 

Breaking Bad 8.png

図 8. Twitter 社にスパムアカウントを報告
 

Twitter リストスパムは新しいトレンドですが、急速に広まりつつあります。自分が Twitter リストに追加されていることがわかった場合には、そのリストを所有しているユーザーを報告すれば、リストから自分を削除することができます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Breaking Bad Fans Targeted in Twitter List Spam

      No Comments on Breaking Bad Fans Targeted in Twitter List Spam

On the heels of its most highly acclaimed episode, Breaking Bad fans tweeting about the popular AMC show may find themselves targeted by a new Twitter spam tactic.
Traditionally, spammers and scammers abused the reply functionality built into the servi…

?????????????????

      No Comments on ?????????????????
フィッシング詐欺師がフィッシング用のサイトを本物のサイトとそっくり同じに偽装しようとすることは、よく知られています。JavaScript を使って静的なページに現在の日付を埋め込むなど、これまでにも多種多様な手口が確認されています。シマンテックは最近、汎用的なフィッシングメールが増えていることを発見しました。通常のフィッシングでは標的を想定するのが普通ですが(銀行の顧客、ソーシャルネットワークのユーザーなど)、汎用的なフィッシングメールの手口は少し変わっています。それは、相手を問わず任意の電子メールアドレスを標的にするということです。
 
たいていの場合、この汎用的なフィッシングメールでは、受信ユーザーのメールボックスが容量の上限を超えたとして、電子メールの消失を避けるために至急メールボックスを「再有効化」するよう指示します。先日シマンテックが特定した汎用的なフィッシングメールの Web サイトも、一見すると正規のサイトのようです。素人仕事のような外見(フィッシング詐欺師がデザインスキルに乏しく、プロの手によるサイトを真似られないことの証です)ではあるものの、ある意味では際立っています。背景が魚の絵のパターンになっているからです。
 
phish_site_with_fish_600px.jpg
図. 汎用的なフィッシング Web サイトの背景に描かれた魚のパターン
 
特にこの背景を選んだフィッシング詐欺師の意図はわかりません。たまたま起きた残念なミスかもしれませんし、フィッシング詐欺師の内輪だけで通じるジョークなのかもしれません。あるいは、これが本当はフィッシングサイトであると、意味のわかるユーザーにだけ通じる大胆で露骨なヒントのつもりとも考えられます。それとも、サイトの一部がイタリア語で書かれていることから、この詐欺師は「フィッシング(phish)」と「魚(fish)」が類似していることを知らなかったのでしょうか。
 
フィッシング詐欺から保護するために、アカウントが制限されているなどと理由をつけて更新の必要性を訴えるようなメッセージには注意してください。また、セキュリティソフトウェアは常に最新の状態に保つようにしてください。Symantec.cloudSymantec Messaging Gateway をお使いの方は、こうした脅威から保護されています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Would You Like Some Fish with That Phishing Site?

      No Comments on Would You Like Some Fish with That Phishing Site?
Phishers are known for making their phishing sites look exactly like the sites they are spoofing. We have seen plenty of examples of the detail they employ, like using JavaScript to include the current date in their static pages. In recent times, Symantec have seen an increase in generic email phishing. Unlike normal phishing, where phishing messages usually have a target in mind (bank customers or social network users, for instance), the generic email phishing technique is slightly different. In generic email phishing, the phishers will target any email address; who the target is does not matter.
 
These generic phishing messages usually claim that the recipient’s mailbox size has been exceeded, and direct them to urgently “re-validate” their mailbox to prevent disruption to their email. Symantec recently identified a generic email phishing website which, at first glance, appeared normal. It looked fairly amateurish—demonstrating phishers’ poor design skills when they don’t have a professional site to rip off—but the site was strikingly unusual for one reason: it had a fish pattern background.
 
phish_site_with_fish_600px.jpg
Figure. Generic phishing website with fish pattern background.
 
We are not sure exactly why phishers decided to use this particular background. Was it a random, unfortunate mistake? An inside joke among fellow phishers? Or perhaps a brazen but not-so-subtle hint to experienced users that it was actually a phishing site? Perhaps—since the site is partially in Italian—the phishers were unaware of the similarity between “phish” and “fish”?
 
To protect yourself from phishing scams, be wary of messages claiming that your account has been restricted or somehow needs to be updated. Keep your security software up to date. Symantec.cloud and Symantec Messaging Gateway customers are protected from these threats.

??????????????????????

      No Comments on ??????????????????????

寄稿: Binny Kuriakose

シリア危機を私利私欲のために悪用するスパムが後を絶ちません。赤十字社から送信されたように偽装した詐欺メッセージを利用するほか、シリアのニュースを扱った電子メールも悪用されています。スパマーは、ランダムな URL を含む悪質なメッセージを仕掛けて、危殆化した悪質な Web サイトにユーザーを誘い込もうとします。この Web サイトには不明瞭化された JavaScript コードがホストされており、そのコードによってトロイの木馬 Downloader.Ponik がダウンロードされます。

Downloader.Ponik が実行されると、以下のファイルが作成されます。

  • %TEMP%\[ランダムな文字のファイル名].bat
  • %UserProfile%\Local Settings\Application Data\pny\pnd.exe

これらのファイルが、ペイロードである悪質な実行可能ファイルをインジェクトすると、攻撃者はパスワードや重要な情報を盗み出せるようになります。

電子メールの件名は、メッセージの本文とまったく無関係な内容です。

Completed: Please DocuSign this document : Confidential Company Agreement 2013..pdf(完了: この文書に DocuSign で署名してください: Confidential Company Agreement 2013..pdf)

電子メールの本文には以下のようなデータが含まれ、「http://xxxxx.xxx.xx/xxxxx/index.html」というパターンで URL が埋め込まれています。

Syria email 1 edit.png

図 1. スパムメールの内容

ほとんどの攻撃で悪用されているのは、ユーザーのコンピュータでまだ更新されていない、またはパッチが適用されていない脆弱性です。ソフトウェアとウイルス対策定義は常に最新の状態に保つことをお勧めします。また、疑わしいリンクをクリックしたり、送信元の不明なファイルを開いたりしないようにしてください。

シマンテックでは、スパマーから送信されるこのような攻撃から保護するために、定期的にセキュリティ更新を提供しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。