Tag Archives: Trojan.Fakeavlock

????????????????????????????

      No Comments on ????????????????????????????

以前のブログで、成功率を上げるためにスパマーがメッセージを次々と変更している事例についてお伝えしました。その中で解説したように、同じスパム活動で使われるメッセージが、音声メールの通知から、小売業者の配達不能通知へ、さらには電力会社を装った案内へと変更されていたのです。リンクをクリックすると、Trojan.Fakeavlock を含む .zip ファイルがダウンロードされます。しかし、スパマーもこうした攻撃経路ではユーザーがなかなか騙されなくなってきたことに気付いたようで、この攻撃に 2 つの手口を追加しています。最初はランダムで無関係のように見えましたが、目的は明らかに共通しています。

1 つ目は米国各地の裁判所を騙る手口です。

Court Funeral Email 1 edit.png

図 1. 米国の裁判所に偽装したスパムメール

2 つ目は葬儀場を騙る手口です。

Court Funeral Email 2 edit.png

図 2. 葬儀場に偽装したスパムメール

この 2 つの手口に共通するのは、どちらも大至急メッセージを開封してリンクをクリックするように急かしている点です。どちらも緊急性を感じさせる文面であり、たいていの人は裁判所からの通知は無視できないでしょうし、いったい誰の葬儀なのか知りたくて葬儀への招待リンクもクリックしてしまうでしょう。後者の場合は、葬儀の日取りが当日か翌日になっているので、余計に急かされることになります。

スパマーはこうして工夫を凝らしている一方で、やはり同じミスを繰り返しています。以前と同様、ヘッダーの情報が本文と食い違っているのです。以下に示す例でも、ヘッダーでは裁判所からの通知を装っていながら、本文は電力会社からの案内になっています。

Court Funeral Email 3 edit.png

図 3. ヘッダーと本文が食い違っているスパムメール

このスパム活動は今でも、乗っ取った URL(所有者の知らないうちに侵入を受けてスパムコンテンツをホストしている Web サーバー)をコールトゥアクションとして利用しています。以下に示すように、スパムコンテンツを秘匿するために使われているディレクトリパスもさまざまです。

Court Funeral Email 4.png

図 4. スパムコンテンツを秘匿するために使われているディレクトリパス

グラフの左半分は色分けが比較的単純ですが、右半分になると同じ日でも色が複雑に分かれています。12 月から 1 月初旬に掛けての期間と比べると、このスパムに使われているディレクトリパスの種類が増えています。

このスパム活動はまだ終わりそうになく、スパマーはこれからも新たな経路を考案するものと思われます。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

What Do Court Email and Funeral Email Have in Common?

In this blog detailing how spammers continue to change their messages in order to increase their success rate, we looked at the evolution of the same spam campaign from missed voicemail messages to spoofing various retailers, and then spoofing utility statements. Clicking on the link led the users to a download for a .zip file containing Trojan.Fakeavlock. Attackers may have realized that those attack vectors no longer entice recipients, so spammers have introduced two new schemes for this campaign that appear to be random and unrelated at first, but they do share a common goal.

The first scheme spoofs various courts around the country:

Court Funeral Email 1 edit.png

Figure 1. United States court spam email

The second scheme spoofs a funeral home:

Court Funeral Email 2 edit.png

Figure 2. Funeral home spam email

What do these two vectors have in common? They both urge the recipients to open the message and quickly click on the links. There is a sense of urgency in both messages; usually people do not want to ignore a message from a court, and they would probably want to see if they recognize the person mentioned in the funeral invitation link. In the latter case, the funeral is scheduled to be on the same day or next day, which increases the urgency even more.

While the spammers continue to try their best, they keep making the same mistake. They usually send poorly crafted messages where the header does not match the information in the body. Here is one such example where the header indicates that the message is from a court when the body is a utility statement:

Court Funeral Email 3 edit.png

Figure 3. Spam email where the header and body do not match

This spam campaign continues to use various hijacked URLs (a compromised web server hosting spam content without the owner’s knowledge) as call-to-actions. Various directory paths are used to hide this spam content as seen here:

Court Funeral Email 4.png

Figure 4. Directories used to hide spam content

The left half of the graph shows relatively simple colors, compared with the right half where there are more colors being represented per day. This indicates that the spammer is using a greater variety of directory paths compared to December and early January.

This particular spam run is probably not over yet, and the spammer may find another clever vector to utilize. However, Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

???????????????: ?????????????????

      No Comments on ???????????????: ?????????????????

スパマーにとって、成功を収めるには 2 つの要因があります。

  1. スパムメッセージがスパムフィルタをすり抜けて、相手の受信ボックスに届くこと
  2. 受信者が思わず開封し、コールトゥアクション(リンクをクリックする、添付ファイルを開く、など)を実行したくなるようなメッセージを作成すること

スパマーは、巧妙なバランスでこの 2 つを両立させます。どちらか一方に偏ってもう一方を軽視すれば、スパム攻撃は失敗してしまうからです。たとえば、件名も本文もランダムなものにすればスパムフィルタをすり抜けることは可能ですが、それではどんなに不用心なユーザーにも露骨なスパムとして無視されてしまいます。逆に、際立って魅力的なメッセージを作成すれば電子メールの開封率は上がりますが、大部分のメッセージはスパムフィルタによって遮断されてしまいます。スパマーにもそれなりに厄介な課題があるということです。

そうした課題に対処するために、スパマーは今まで以上にコンテンツの真意をユーザーから隠そうとしています。定番の各種医薬品を件名に挙げて(もっと露骨な場合もあるかもしれません)オンラインの医薬品販売サイトにアクセスさせようとするスパム攻撃は今でも後を絶ちませんが、スパムらしからぬ説得力のあるコンテンツを利用した高度なスパム攻撃も増えてきています。頻繁に使われているのが、有名人や重要人物の死亡記事、あるいは天災のような最新のニュースや事件を利用する手口です。スパムメッセージは、報道機関から送信された正規の電子メールを装い、最新のニュース記事を掲載していますが、実際にはスパム Web サイトにリンクしています。このようなスパム戦略は、マルウェアを拡散するスパムメッセージで一般的です。

コールトゥアクションが実行される確率を上げるうえでは、スパム専用のドメインを登録するのが効果的ではないことにスパマーも気付いています。特定のドメインは、スパム対策ソフトウェアによって簡単に遮断されてしまうからです。スパム対策機能に対抗するために最近スパマーの間で広まっているのが、乗っ取った URL(所有者には知られずにスパムコンテンツをホストしているだけで本来は正規のサーバー)を利用する手法や、コールトゥアクションのリンク先を不明瞭化する短縮 URL を利用する手法です。

メッセージの配信率と電子メールの開封率をどちらも増やすために、スパマーがスパムのコンテンツを変更し、状況に対応してきた 6 週間の変遷の実例を見てみましょう。

この変遷の最初は、有名な音声メールサービスのブランドを詐称するメッセージでした。

Case Study 1.png

図 1. 悪質なスパムメッセージ

[Play](再生)ボタンをクリックすると、以下の URL に移動します。

http://[ドメイン]/message/i9X8PSVcFk0n0QqhGNTJmh8e3/XSunSgPKMsrzQ7Y7s=/play

実際には、音声メールが再生されるどころか、マルウェアがコンピュータにダウンロードされます。

12 月 19 日になると、スパマーはコンテンツの形式として音声メールをやめて、大手小売業者を騙った偽の配達不能通知に切り替えました。これが同一犯による攻撃であると判明したのは、メッセージにいくつかの手掛かり(同種の URL 乗っ取りが使われていたことなど)があったからですが、特に目立ったのはスパマーが犯した失敗でした。最初のサンプルと同じヘッダーを使ってしまったため、件名は音声メールの送信エラーとなっていながら、メッセージ本文には小売業者からの配達不能通知と書かれていたのです。

Case Study 2.png

図 2. スパムメールの件名が誤っていたことから同一のスパム攻撃であることが発覚

この間違いにはスパマーの側もすぐに気付いたようで、コンテンツはたちまち修正されました(4 分後、またはもっと短時間で)。

Case Study 3.png

図 3. 修正後のスパムメールの件名

この一連のスパム攻撃では、ほかにも 2 つの小売業者が詐称されています。メッセージの構成は変わりませんが、コールトゥアクションのリンク先として、ディレクトリパスを変えながらさまざまな URL が乗っ取られ、悪用されています。このスパム攻撃は、ディレクトリの第 1 階層を次々と変えることでスパムコンテンツを秘匿していましたが、最終的には一定期間で使われたディレクトリの数は限られています。

Case Study 4.png

図 4. スパマーが利用している複数のコンテンツディレクトリ名の変遷

このスパマーは、同時に複数のディレクトリパスでスパムを拡散するのではなく、あるひとつの特定のディレクトリパスをしばらく使ってから次のディレクトリパスに移るという特徴があります。

次に変化が見られたのは 1 月 7 日、ホリデーシーズンが終わってショッピング熱も収まってきた頃です。スパマーは、大手小売業者からの配達不能通知をやめて、今度は大手電力会社を詐称する手口に切り替えました。

Case Study 5.png

図 5. 詐称する相手が小売業者から電力会社に変わったスパム攻撃

スパマーはまたしても、電子メールの件名で同じミスを犯します。件名では小売業者を騙りながら、メッセージ本文には電力会社からの通知を載せてしまったのです。

Case Study 6.png

図 6. スパムメールの件名が誤っていたことから同一のスパム攻撃であることが再び発覚

お粗末な失敗ですが、今回も件名はすぐに修正されました。

Case Study 7.png

図 7. 修正後のスパムメールの件名

スパムコンテンツとして、このスパマーが電力会社を選んだのはなぜでしょうか。クリスマスシーズンで電気料金が相当かさんでしまったかもしれないという消費者の不安を煽って、スパムメッセージから誘導されるクリック数を増やそうとしたのかもしれません。スパムメッセージにはかなり大きな請求額が記載されているため、受信したユーザーは関心を持たざるをえません。そうなればスパムとしてはもう成功したも同然です。

小売業者に偽装したスパムは 1 月 12 日に急増していますが、これは電力会社に偽装したスパムに移行してからしばらく経ってからのことです。このときのメッセージは、全体的にそれまでの攻撃と同じ構成を維持しながら、クリスマスシーズンに関する言及はなくなっていました。

Case Study 8.png

図 8. クリスマス後の配達不能通知スパム

上記の例から明らかなように、スパマーは常にスパムフィルタの検出をすり抜けようと試みています。また、信憑性を持たせるためにスパムの文面が正規のコンテンツであるという偽装も忘れません。今回の場合は、リンクをクリックすると .zip ファイルがダウンロードされ、そこに Trojan.Fakeavlock というマルウェアが含まれています。

日常生活でオンラインへの依存度が高くなるほど、スパマーがスパムメッセージでクリックを誘う手口も多様化します。今回と同様のスパム戦略も続くでしょう。残念ながら、Web を利用するときにはスパムに対する厳重な警戒を今後も続けなければならないということです。こうした攻撃から保護するために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策のシグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Case Study from the Spammer’s Perspective: Crafting Spam Content to Increase Success

Spammer success is dependent on two factors:

  1. Evading spam filters so the spam message arrives in the recipient inbox
  2. Crafting messages so that the recipient is enticed to open and perform desired call-to-actions (click on the link, open attachment, etc.)

Spammers walk a fine line to balance these two aspects; relying heavily on one factor and ignoring the other will make the spam campaign fail. For example, spammers can evade spam filters by randomizing the subject and body of the message, however such randomization is likely to be ignored by even the most unsophisticated user as obvious spam. Similarly, crafting stand-out enticing messages to increase the email open rate often results in spam filters blocking the message. Spammers have a tough challenge.

Rising up to meet this challenge, spammers are now hiding the true content from the user more than ever before. While there are still spam campaigns with links to online pharmacies with subject lines mentioning a variety of popular Rx names—can it be more obvious?—more sophisticated spam campaigns now use enticing email content unrelated to the spam. One of the most popular methods is to use current events and news, such as the death of a celebrity or major figure or even a natural disaster. A spam message may look like a legitimate email from a news organization containing an article about current events, but actually links to a spam website. This spam strategy is common for spam messages that spread malware.

To increase the success of the call-to-action, spammers have realized that registering a domain for their spam has become less effective as it was too easy for anti-spam software to simply block that particular domain. To counter anti-spam efforts, spammers may now use hijacked URLs (otherwise legitimate servers hosting spam content without the owner’s knowledge) or URL shorteners that obfuscate the destination as call-to-action.

Let’s take a look at how spammers adapted and changed their content through a six-week period to increase their success in both message delivery and email open rates.

We begin this journey with a message that spoofs a well-known voicemail service brand.

Case Study 1.png

Figure 1. Malicious spam message

Clicking the Play button leads to the following URL:

http://[DOMAIN]/message/i9X8PSVcFk0n0QqhGNTJmh8e3/XSunSgPKMsrzQ7Y7s=/play

Instead of playing the voicemail, malware is actually delivered to the computer.

On December 19 spammers changed their content template from voicemail to a fake delivery failure notification from large retailers. How do we know this as the same attack? There are various clues in the message (including same type of hijacked URLs being used), but most obvious is the mistake the spammer made by using the same header as the first sample, indicating a missed voicemail, while the body of the message indicates a delivery failure notification from a retailer.

Case Study 2.png

Figure 2. Wrong spam email subject reveals single spam campaign

Oops! This was obviously a mistake on the spammer’s part as the content was quickly fixed (in four minutes, or possibly sooner).

Case Study 3.png

Figure 3. Fixed spam email subject

Two additional retailers were also spoofed as part of this particular spam campaign. The structure of the messages remained the same, but the spammers used a variety of hijacked URLs as a call-to-action, which changed the directory paths. This spam campaign hid the spam content in various first directories, but eventually used several directories over time.

Case Study 4.png

Figure 4. Spammer uses various content directory names over time

This spammer preferred to use one particular directory path at a time, and then move on to the next one, rather than distributing the spam across multiple options all at once.

Another change occurred on January 7, when holiday shopping activity had presumably declined. Rather than using fake delivery notification from a large retailer, the spammers switched to spoofing a large utility company.

Case Study 5.png

Figure 5 Spam campaign switches from retailer to utility company spoofing

The spammer made the same mistake once again with an email subject header that indicates a delivery notification from a retailer, but a body message showing an energy utility statement.

Case Study 6.png

Figure 6. Another wrong spam email subject reveals single spam campaign

Oops again! This mistake was soon fixed with a corrected email subject.

Case Study 7.png

Figure 7. Fixed spam email subject

Why did these spammers chose to use utility statements for their spam content? They may be leveraging consumer fear of a large electricity bill due to the Christmas holiday period to make their spam message more enticing to click on. The spam message contains a large bill, and that piques the recipient’s interest enough to make the spam campaign a success.

There was a small spike in retailer-spoofed spam on January 12, well after the utility spam increased in volume. Those messages, while retaining the overall structure of the previous campaigns, dropped the reference to the Christmas holiday.

Case Study 8.png

Figure 8. Post-Christmas delivery notification spam

As the above examples have demonstrated, spammers are always attempting to make their spam messages undetectable by spam filters. They also want to appeal to recipients by pretending the spam contains some legitimate content. In this particular case, clicking on the link leads to a .zip file download containing Trojan.Fakeavlock malware.

There will be more avenues for spammers to entice recipients to click on spam messages as we live more of our lives online. These same spam strategies will continue. Unfortunately, this means that Web users must continue to be on high alert for spam and observe the following best practices to stay protected:

  • Exercise caution when receiving unsolicited, unexpected, or suspicious emails
  • Avoid clicking on links in unsolicited, unexpected, or suspicious emails
  • Avoid opening attachments in unsolicited, unexpected, or suspicious emails
  • Keep security software up-to-date
  • Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.