Contributor: Avdhoot Patil
New methods to entice victims into handing over their personal information are always being devised by the people behind phishing websites and the use of fake social networking applications is always popular.
During the past …
Com a renúncia de Bento XVI e da eleição do novo pontífice da Igreja Católica, Francisco I, nas últimas semanas o Vaticano tem aparecido nos principais noticiários. O interesse gerado por este tema tem chamado atenção dos spammers, que aproveitam o momento para espalhar malware na web.
O Symantec Security Response tem observado que atacantes estão distribuindo spams que direcionam os usuários a um site que hospeda o ‘Kit Exploit Blackhole’. A boa notícia é que a Symantec já oferece proteção para esta ameaça.
A mensagem maliciosa afirma ser de um canal de notícias bem conhecido. As seguintes linhas de assunto são usadas neste ataque:
Os domínios utilizados no e-mail foram recentemente registados. Ao clicar no link da mensagem, o usuário é direcionado para um site malicioso que hospeda o malware. A imagem seguinte é uma captura de tela do e-mail malicioso (em inglês):
Abusar da popularidade de uma agência de notícias conhecida aumenta as chances de um ataque bem sucedido. No entanto, a Symantec oferece proteção multinível adequada contra essa ameaça. As recomendações dos especialistas da companhia são não abrir e-mails não solicitados e manter o software de segurança atualizado, a fim de manter-se protegido contra as ameaças on-line.
イースターサンデー(復活祭期間の日曜日)は、キリスト教暦でもとりわけ重要な祝祭日です。毎年 3 月 22 日から 4 月 25 日のいずれかの日曜日ですが、今年は 3 月 31 日がイースターサンデーに当たります。イースターに関連するスパムが Symantec Probe Network で検出され始めており、予想通り、スパムサンプルのほとんどは、名前入りの電子カードや、車の在庫一掃セール、高級腕時計のコピー商品といったお買い得商品を宣伝してユーザーを誘うものです。URL をクリックすると、偽の売り文句が掲載された Web サイトにリダイレクトされます。
図 1. イースターにちなんだ偽広告のスパム
「イースターボンネット」の名を使ってカジノに誘うスパムメールを送ってくる手口もあります。イースターボンネットは、イースターの祝祭日になると新調した服を着るという伝統の名残です。
以下のスパムサンプルには、「ボーナス」を受け取るための手順が書かれています。
図 2. イースターボンネットを利用したカジノスパム
次に示すスパムサンプルは、商品購入を誘う偽広告でユーザーを誘っています。URL をクリックすると、偽の医薬品販売 Web サイトにリダイレクトされます。
図 3. 偽の医薬品販売 Web サイト
図 4. イースターを狙った名前入りカード
イースター関連のスパムで確認されたヘッダーは、わかりやすいものばかりです。
迷惑メールや心当たりのない電子メールの扱いにはご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、24 時間 365 日の態勢でスパムの監視を続けています。
楽しく安全なイースターをお過ごしください!
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Easter Sunday is one of the most important festivals in the Christian calendar and it is observed anywhere between March 22 and April 25 each year; this year it falls on March 31. Spam messages related to Easter have begun flowing into the Symantec Probe Network. As expected, most of the spam samples are encouraging users to take advantage of products offers, personalized letters, e-cards, as well as clearance sales of cars and replica watches. Clicking the URL will automatically redirect the user to a website containing some bogus offer.
Figure 1. Spam product offer related to Easter
Spammers are also exploiting the event by sending casino spam email using the name “Easter bonnet”. The Easter bonnet represents the tail-end of a tradition of wearing new clothes at an Easter festival.
The following spam sample provides instructions for ways that users can acquire a “bonus”.
Figure 2. Casino spam targeting the Easter bonnet
In the next spam sample, users are encouraged to take advantage of the bogus offers for purchasing a product. By clicking the URL it directs the user to a fake pharmaceuticals website.
Figure 3. Spam website selling fake pharmaceutical products
Figure 4. Personalized letter targeting the Easter festival
Some of the headers observed for Easter related spam can easily be recognized:
Symantec advises our readers to be cautious when handling unsolicited or unexpected emails. We at Symantec are monitoring spam attacks 24×7 to ensure that readers are kept up-to-date with information on the latest threats.
Wishing everyone a happy and safe Easter!
寄稿: Ayub Khan
シマンテックは、危殆化したインドの Web サイトにホストされているフィッシングサイトについて継続的に監視を行っています。2011 年には、危殆化したサイトの詳しい調査を実施しましたが、2012 年もフィッシングサイトについて同様の調査を実施しました。
2012 年の 8 月から 11 月にかけて、全フィッシングサイトのうち 0.11% が、危殆化したインドの Web サイトをホストとして利用していました。フィッシング詐欺師は、フィッシングサイトをホストするために多くの分野でインド国内のサイトを狙い続けています。こうしたインドのサイトは多様なカテゴリに分類されますが、標的となった大部分のサイトは、IT 関連(14.40%)、教育関係(11.90%)、製品販売・サービス(9.80%)、工業および製造業(7.30%)、観光・旅行・運輸(5.80%)でした。政府系、電気通信、ISP などセキュリティの高い Web サイトの比率は低く、リストの下位に位置しています。このことから、脆弱な Web サイトほどフィッシングの標的になりやすいことは明らかです。
図 1. フィッシング詐欺の侵入を受けたインドの Web サイトのカテゴリ
教育関係は、2011 年には標的となった Web サイトの最上位を占めていましたが、2012 年になると 2 位に下がっていることに注目してください。とはいえ、インド全土の各種学校や大学を含む教育関係は、依然としてフィッシング詐欺に好んで悪用されています。教育関係のカテゴリが上位を占めたのは、ラージャスターン、アーンドラプラデーシュ、デリー、マハーラーシュトラ、パンジャーブの各州でした。都市別で上位を占めたのは、ジャイプル、ハイデラバード、デリー、チャンディガル、バンガロールでした。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
ヨーロッパ連合(EU)の財政危機は最近、劇的な展開を見せています。EU でも特に人口の少ない加盟国であるキプロスで、普通預金の残高に対して 1 回限り 10 パーセントの課税計画が発表されました。全島の銀行で口座が封鎖され、議会では前例のない措置について討論されています。その間、不安を抱える口座名義人は、自分たちの預金の行方について事態の推移を見守るしかありません。株主や投資家ではなく、一般の顧客です。
悪名高い Blackhole 悪用ツールキットについては、このブログでも過去に何度となく取り上げてきましたが、その Blackhole もキプロスの一般市民の不安心理につけ込み、事態の新展開を報じるニュースを装った電子メールを送りつけています。
図 1. Blackhole 悪用ツールキットが送る悪質な電子メール
メッセージは、英国放送協会(BBC)ニュースサイトのおすすめ記事紹介サービスから送信されたことになっています。送信元アドレスも、BBC おすすめメッセージを名乗る件名と同様に詐称されたものです。
メッセージからリンクされるランディングページは、「Cyprus Crysys [sic] – BBC(キプロス機危 [原文まま] – BBC)」というタイトルで、BBC の実際のニュースに偽装しています。このページには、「You will be redirected to news(ニュースサイトにリダイレクトされます)」とも書かれています。
図 2. Blackhole 悪用ツールキットが偽装した BBC ニュースのランディングページ
実際のリダイレクト先は、おなじみの Blackhole 悪用ツールキットのページで、そこには Adobe Flash Player や Adobe Acrobat Reader、Java の脆弱性を狙ういくつかの悪用コードが仕掛けられています。数秒後にはタイマー機能が実行され、今度は本物の BBC Web サイトにリダイレクトされます。
図 3. Blackhole 悪用ツールキットで不明瞭化された、脆弱性を悪用する JavaScript
前述したように、キプロスは EU でも特に人口の少ない加盟国ですが、この国で起きる出来事の影響はそれ以上に大きい意味を持っています。ギリシャの多くの人々が、最近の財政危機と政治的不安定のなか、預金を保全するためにキプロスの銀行に資金を移動したからです。また、キプロスはロシア企業にとってオフショアセンターとしても大きな役割をはたしています。
その後、キプロス議会がこの課税案を否決したため、新しい Blackhole 悪用ツールキットのソーシャルエンジニアリングメールでは、北米の大手銀行が使われるようになっています。マルウェアの作成者が、情勢の変化にいかに迅速に対処するかという見本です。
Symantec.cloud では、50 件以上の Web サイトが危殆化し、Blackhole 悪用ツールキットの最新のソーシャルエンジニアリング攻撃へのリダイレクトに利用されていることを確認しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Ayub Khan
Symantec has been constantly monitoring phishing sites hosted on compromised Indian websites. In 2011, our study detailed these compromised sites and we did a similar study of phishing sites in 2012.
From August 2012 to November …
寄稿: Saurabh Farkade
ベネディクト 16 世の退位から新法王フランシスコの選出まで、バチカン市国はここ数週間、ニュースの見出しを飾り続けてきました。スパマーにとっても、便乗してマルウェアを拡散する絶好の機会です。
シマンテックセキュリティレスポンスで最近確認されているスパム拡散攻撃は、Blackhole 悪用ツールキットをホストしているサイトにユーザーを誘導しようとします。ただし、シマンテック製品をお使いであれば、この脅威は Blackhole Toolkit Website として検出されますのでご安心ください。
スパムメールは、送信元として知名度の高いニュースチャネルを騙っています。攻撃には、以下のような件名が使われています。
電子メールで使われているドメインは、いずれも最近登録されたものです。電子メールに記載されたリンクをクリックすると、危殆化した Web サイトにリダイレクトされ、そのサイトにペイロードがホストされています。次の図は、今回使われている悪質なメールのスクリーンショットです。
大手通信社の知名度を悪用すると攻撃の成功率は高くなりますが、シマンテック製品をお使いのお客様は、このような脅威からも複数レベルの対策で保護されています。オンラインの脅威から身を守るために、大量送信されたニュースメールは開かないように、そしてセキュリティソフトウェアを最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In recent days, the European Union (EU) financial crisis has taken a dramatic turn. Cyprus, one of the EU’s smallest member states by population, announced plans to impose a one-off levy of up to 10 percent on ordinary bank deposits. Banks across the island state have been closed while the unprecedented measures are debated in the country’s parliament. Meanwhile, anxious bank account holders—ordinary people, not bond holders or investors in Cypriot banks—await news of what will happen to their savings.
The notorious Blackhole Exploit Kit, previously featured in several posts on this blog, has started exploiting the public concern about this situation by sending out emails claiming to be news stories related to the unfolding situation.
Figure 1. Blackhole Exploit Kit malicious email
The message claims to be from the British Broadcasting Corporation (BBC) news site’s article recommendation service. The sending address has been spoofed, as have certain BBC recommendation message headers.
These messages link to a landing page with the title “Cyprus Crysys [sic] – BBC” that pretends to actually be from the British Broadcasting Corporation. This page also states: “You will be redirected to news”.
Figure 2. Blackhole Exploit Kit’s fake BBC news landing page
The page actually redirects to a familiar Blackhole Exploit Kit page which attempts several exploits, targeting vulnerabilities in Adobe Flash Player, Adobe Acrobat Reader, and Java. After several seconds, a timer function is run which then redirects the user to the real BBC website.
Figure 3. Blackhole Exploit Kit’s obfuscated JavaScript targets vulnerabilities
As mentioned, Cyprus is one of the smallest member state in the EU, but the impact of events there have broader implications. Many people in Greece moved money to Cyprus during Greek’s recent financial and political instability, believing their money would be safer there. Cyprus is also a popular offshore center for Russian business.
The parliament in Cyprus has since rejected the proposed tax, and a prominent North American bank is now being used as social-engineering content for new Blackhole Exploit Kit emails—demonstrating how quickly malware authors can respond to current affairs.
Symantec.cloud has identified more than 50 compromised websites redirecting to this latest Blackhole Exploit Kit social-engineering attack.
Contributor: Saurabh Farkade
The Vatican City has been in the news a lot in the past few weeks due to Benedict XVI’s resignation and the election of Pope Francis. Spammers have picked up on this opportunity for spreading malware.
Symantec Securit…
