Tag Archives: Trojan.Pandorat

???????: ???????????????

      No Comments on ???????: ???????????????

creepware_title_banner.png

ラップトップコンピュータの Web カメラに目隠しを貼っている人がいます。皆さんも案外そうかもしれません。果たして、それは用心しすぎ、被害妄想、あるいはちょっと変わった行為なのでしょうか。それとも、そこまでする理由があるのでしょうか。自分のコンピュータで行動を見張られていた、あるいは Web カメラがいつの間にか侵入を受け、恥ずかしい映像や違法な動画を盗み出されて恐喝のネタにされたという話を聞いたことのある人も多いでしょう。そうした体験談は本当なのか、そして被害妄想と思えるくらい用心するのも無理もないことなのかと問われれば、残念ながら答えはイエスです。こうした行為に対する警戒は必要であり、この手の悪質な行為やもっと悪質な活動に利用できるプログラムは無数に出回っています。リモートアクセス型のトロイの木馬(RAT)は、被害者の知らないうちにインストールされるプログラムで、これにより攻撃者は侵入先のコンピュータにリモートからアクセスして、制御することができます。最近では、いつの間にか忍び寄る(Creep)その性質からクリープウェア(Creepware)とも呼ばれています。

今回のブログでは、このクリープウェアについて解説します。クリープウェアの実態と機能、これまでの被害の実状や今後、そして被害者と加害者について解明するとともに、アンダーグラウンド市場でのソフトウェアの流通から被害者の売買まで、クリープウェアの経済的側面にも検証します。最後に、クリープウェアの拡散方法と自衛手段についてもお伝えします。

詳しい説明を進める前に、まずはこちらの動画(英語)をご覧ください。この動画では、深刻化するクリープウェアの問題について知っておかねばならない内容をご紹介しています。

creepware_play_vid.png

図 1. この画像をクリックしてクリープウェアに関する動画を見る
 

クリープウェアとは

RAT とは、リモートからコンピュータを制御できるソフトウェアを総称するときによく使われる頭字語です。次のいずれの用語を表すときにも使われます。

  • リモートアクセス/管理ツール(Remote Access/Administration Tool)
  • リモートアクセス型/管理型のトロイの木馬(Remote Access/Administration Trojan)

「リモートアクセス型のトロイの木馬」は、ユーザーの知らないうちにインストールされて悪質な目的に利用されるという点で「リモートアクセスツール」とは異なります。リモートアクセスツールには多くの種類があり、テクニカルサポートや、旅行先から自宅または職場のコンピュータへの接続といった正規の用途で利用されています。ところが、リモートアクセスツールが備えている便利な機能そのものが、皮肉なことに悪質な行為にも利用できるため、そのような機能を想定した大量のマルウェアが設計されることになってしまいました。そうしたプログラムを「リモートアクセス型のトロイの木馬」と呼びます。攻撃者は、トロイの木馬がインストールされたコンピュータをほぼ完全に制御できるようになります。トロイの木馬の存在はなかなか気付かれることがなく、実際にコンピュータの前に座っているのとほとんど同じ操作が可能なので、Web カメラで映像を録画するのも簡単です。このように悪質で「いつの間にか忍び寄る」性質の活動が最近の事件で注目を集めたことから、リモートアクセス型のトロイの木馬を指して「クリープウェア」という名前が使われ始めました。

クリープウェアはクライアントサーバーモデルを採用していますが、クライアントサーバーシステムの設定を論じるときに想定する通常のモデルとは大きく異なっています。クリープウェアはこのプロセスを反転して、被害者のコンピュータをサーバーに、攻撃者のコンピュータをクライアントにします。被害者のコンピュータがクリープウェアに感染すると、攻撃者はそのコンピュータに要求を送ってファイルを取得したり、その他のさまざまな悪質な行為を実行したりできるようになります。
 

何が問題なのか

以前はクリープウェアもまだそれほど使われていませんでしたが、残念ながら現在では珍しくもなくなりました。クリープウェアのユーザーは、脅迫や詐欺で金儲けを狙うものから、無害な娯楽やいたずら程度にしか考えていないものまでさまざまです。両者の行為はまったく別物のように思えるかもしれませんが、どちらもコンピュータに不正にアクセスするという点では、倫理的に間違っているだけでなく、重大犯罪であることに変わりはありません。

特に懸念されるのは、クリープウェアのユーザーにモラルの欠如が感じられることです。クリープウェア専用のセクションが設けられた多数のオンラインフォーラムをざっと見れば、その傾向が如実に表れています。

creepware_blog_fig1.png

図 2. 「シャレでやっているだけ」

creepware_blog_fig2.png

図 3. 被害者に対する脅迫

こうしたフォーラムには、そもそもモラルなど持ち合わせていないユーザーが多いようですが、一部には物事の善悪についてひどく歪んだ考え方をするものもいます。あるスレッドには、クリープウェアによる RAT 行為を正当化するユーザーも存在し、信頼できない場所からプログラムをダウンロードしたりインストールしたりするほうが悪いと言って憚りません。

creepware_blog_fig3.png

図 4. 被害者に対する暴言

また別のフォーラムには、何も気付いていない被害者をただ眺めているだけなら実害はないだろうと考えているユーザーもいます。

creepware_blog_fig4.png

図 5. プライバシーの侵害を正当化

クリープウェア(リモートアクセス型のトロイの木馬)に関連する無数の投稿を見ていると、ソフトウェアをセットアップして RAT 行為を始めるための助言を求めるユーザーが果てしなく湧いて出てくるように思えます。自分たちの行為に多少なりとも罪悪感を抱いているものは少数派であり、圧倒的多数は他人のプライバシーに立ち入ることが悪いとは微塵も思っていません。それどころか、RAT 行為によって金銭を得ることさえ悪事だとは見なしていないようです。「Morals of messing with people(いたずらのモラル)」というスレッドには、自分たちの行為が正しいのか仲間の意見を求めているユーザーがいました。

creepware_blog_fig5.png

図 6. モラルをめぐる悩み

寄せられた回答は、予想どおりの内容でした。

creepware_blog_fig6.png

図 7. 「モラルなんて知るものか」

嘆かわしいことですが、クリープウェアのユーザーは被害者の受ける痛みがわからないか、あるいは気にもしていないようです。何も知らずにクリープウェアの犠牲になる人は多く、心に深い傷を負ったり、もっとひどい目に遭った人もいます。覗き行為を元に代償を求める手段のひとつが性的脅迫行為(Sextortion)で、これは身体的危害を加えない脅迫手段によって、被害者に性的な行為を強要するものです。

2013 年 8 月には、ミスティーン USA に選ばれた 19 歳のキャシディ・ウルフ(Cassidy Wolf)さんがクリープウェアの被害を受ける事件が発生しました。犯人は高校の同窓生で、彼女が寝室で着替えているところをクリープウェアを使って盗撮したのです。犯人は、その画像をインターネット上に公開すると脅して、もっと露骨な写真の撮影を強要しようとしましたが、彼女が警察に通報したことで、この高校生は逮捕され、他の国も含めて二十数人の女性たちをハッキングしていたことを認めました。

クリープウェアを使って、被害者のコンピュータ画面に「Web カメラの内部センサーのクリーニングが必要」だという警告メッセージを表示させる手口も大きく報道されました。この事件の場合、被害者は、Web カメラの内部センサーをクリーニングするにはコンピュータに蒸気を当てる必要があると指示され、何人かの女性はコンピュータを浴室に持ち込んだため、シャワーを浴びている映像を盗撮されてしまいました。

あいにく、こうした事件も、クリープウェアが実際の被害をもたらした事例のうち氷山の一角に過ぎません。被害者の多くはこの手の犯罪被害を届け出ることがなく、犯人が法の網に掛からないためです。攻撃者は盗み出したコンテンツや盗撮した画像をオンラインに公開すると言って被害者を脅迫するので、もしそうなったら一生噂がつきまとう可能性があります。一般に、このような嫌がらせやネットいじめは持続性があり、被害者が自殺に追い込まれることさえありえます。クリープウェアは、サイバーいじめにとっては理想的なツールと言えるようです。

クリープウェアと RAT は今や世界的な問題であり、世界中で悪質な目的に利用されています。

creepware_country_stats_600x600_mk2.png

図 8. 過去 6 カ月間に RAT の活動が確認された上位 5 カ国
 

クリープウェアの機能

では実際、クリープウェアを使って何ができるのでしょうか。アンダーグラウンド市場にはクリープウェアプログラムが溢れています。いくつか名前を挙げるだけでも、Blackshades(W32.Shadesrat)、DarkComet(Backdoor.Breut)、Poison Ivy(Backdoor.Darkmoon)、jRAT(Backdoor.Jeetrat)などがあり、その多くは同様の機能セットを中核に備えています。ここでは、その中から Pandora RAT(シマンテック製品では Trojan.Pandorat として検出されます)を詳しく取り上げます。

Pandora RAT を使うと、攻撃者は侵入先のコンピュータで以下のものにアクセスすることができます。

  • ファイル
  • プロセス
  • サービス
  • クリップボード
  • アクティブなネットワーク接続
  • レジストリ
  • プリンタ

加えて、攻撃者は以下のような活動を実行することも可能です。

  • 侵入先のコンピュータのデスクトップをリモートから制御する
  • スクリーンショットを取得する
  • Web カメラで映像を記録する
  • 音声を録音する
  • キーストロークを記録する
  • パスワードを盗み出す
  • ファイルをダウンロードする
  • Web ページを開く
  • 画面にメッセージを表示する
  • テキスト読み上げ機能を使って音声メッセージを再生する
  • 侵入先のコンピュータを再起動する
  • タスクバーを隠す
  • デスクトップアイコンを隠す
  • システムエラーやブルースクリーンを発生させる

使いやすさと美しいグラフィカルユーザーインターフェース(GUI)は、デザイン重視の現在では重要な要素ですが、クリープウェアでもそれは例外ではありません。Pandora RAT は、他の RAT と同じく、専門家だけでなく初心者でもすぐにマスターできる、使いやすい GUI を採用しています。かつては凄腕のハッカーしか使えなかったクリープウェアが、今やスクリプトキディからまったくの素人まで誰にでも手が出せるツールになってきたのです。

creepware_screen_shots_600x600_mk2.png

図 9. Pandora RAT のわかりやすいユーザーインターフェース

クリープウェアの使用目的は多種多様です。

  • 盗撮
    被害者の Web カメラやマイクを使って、密かに録音や録画を行う。
  • 情報やファイルの窃盗
    銀行口座やパスワードといった情報、画像や動画などのファイルをコピーまたは削除する。
  • 恐喝/性的脅迫行為
    コンピュータから盗み出した、または Web カメラを使って撮影した画像や動画を使って被害者を脅迫し、もっと露骨な画像や動画を撮影するためにポーズを取ることや性的な行為を強要したり、金銭を要求したりする。
  • 荒らしや煽り
    アダルト系やショッキングな Web サイトを開く、罵倒するメッセージを表示する、システムに損害を与えるなど、コンピュータに異常な動作を起こさせて、ただそれを見て楽しむ。
  • コンピュータを利用して DDoS 攻撃などを仕掛ける
    侵入先のコンピュータを利用して、分散サービス拒否攻撃(DDoS)や Bitcoin マイニングなど、被害者のリソースを悪用することで利益を得る何らかの行為を実行する。
     

クリープウェアの経済的側面

アンダーグラウンド経済においてクリープウェアは大きな市場であり、ソフトウェア販売を中心に急成長を遂げています。クリープウェア自体は、開発者自身の Web サイトや、ハッキング関連フォーラムに掲載されている広告から購入できます。そうしたフォーラムでは、FUD クリプターや JDB ジェネレータ、あるいはスレーブの広告がいくらでも見つかります。ここで挙げている用語を見慣れていない方は、定義を以下にまとめましたのでご覧ください。

  • FUD: 完全に検出不可(セキュリティベンダーによっても)。
  • クリプター: 実際のバイトをスクランブル化して検出されにくいようにファイルを再編成するツール。
  • JDB: Java ドライブバイ。Java アプレットを Web サイトに配置し、ユーザーがそのサイトにアクセスするとポップアップを表示してユーザー権限を要求する。権限が付与されると、クリープウェアがダウンロードされる。
  • スレーブ: クリープウェアに感染したコンピュータ。

難しそうに見えるかもしれませんが、クリープウェアをセットアップしたいと思ったら誰でも、作業代行を引き受ける「専門家」を見つけ出せば、それで済みます。サービスによって価格は大きく異なります。無料のクリープウェアや RAT も見つかりますが、有償版でも上限は 250 ドルほどで、FUD 暗号化やセットアップ費用といった追加コストが 20 ドルから 50 ドルです。しかし昨今のご多分に漏れず、オンラインで質問すれば無償で助言や説明を入手することができます。クリープウェアに関連するツールやヒント、手口などについて自分の知識を他人に伝えたいと考えているユーザーはたくさんいます。
 

自衛のために何ができるか

コンピュータをクリープウェアに感染させるには、以下の手法が考えられます。

  • ドライブバイダウンロード: Web サイトにアクセスすると、知らない間にクリープウェアがコンピュータにダウンロードされる。
  • 悪質なリンク: ドライブバイダウンロードをホストしている Web サイトにユーザーを誘導する悪質なリンク。ソーシャルメディア、チャットルーム、掲示板、スパムメールなどを使って拡散される。また、ユーザーアカウントを乗っ取って、友人から送信されたリンクのように見せかけたり、魅力的なメッセージで被害者を誘ったりする。
  • 悪用ツールキット: 感染した Web サイトにアクセスしたり、悪質なリンクをクリックしたりすることで、悪用ツールキットがホストされている Web サイトにリダイレクトされる。そこで、どの悪用コードを利用できるかを判別するスクリプトが実行され、悪用が可能な場合、クリープウェアに感染し攻撃者に通知される。
  • ピアツーピアファイル共有/torrent: クリープウェアサーバーのインストーラが、人気のあるプログラムやゲームクラックなどのファイルにパッケージ化され、共有サイトで共有される。このファイルを実行すると、クリープウェアサーバーモジュールがインストールされる。

クリープウェアから保護するために、シマンテックは以下のことを推奨します。

  • ウイルス対策定義、オペレーティングシステム、ソフトウェアを常に最新の状態に保つ。
  • 不明な送信者からの電子メールは開かず、疑わしい添付ファイルもクリックしない。
  • 電子メールやインスタントメッセージで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • ファイルは、信頼できる正規のソースだけからダウンロードする。
  • Web カメラが想定外の動作をしたら警戒する。Web カメラを使わない場合にはシャッターを閉じる。シャッターがなければ、使わないときにはテープなどで Web カメラをふさぐ。

現在、コンピュータは生活の中で大きな役割を占めています。これほど普及しているツールが、攻撃者の道具となって私たちのプライバシーを脅かすというのは、考えるだけでも恐ろしいことです。クリープウェアには確かに甚大な被害を及ぼす機能がありますが、しかるべき対策を講じることで自衛することが可能です。セキュリティソフトを常に最新の状態に保ち、基本的なセキュリティ対策に従っていれば、コンピュータにクリープウェアが忍び寄る心配はありません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Default Chromeless Player

Creepware – Who’s Watching You?

      No Comments on Creepware – Who’s Watching You?

creepware_title_banner.png

Some people stick a piece of tape over the webcam on their laptop, maybe you even do it yourself. Are they over cautious, paranoid, a little strange? Are you? Or is there reason behind this madness? Many of us have heard the stories about people being spied on using their own computer or people being blackmailed using embarrassing or incriminating video footage unknowingly recorded from compromised webcams. But are these stories true and are some people’s seemingly paranoid precautions justified? Unfortunately the answer is yes, precaution against this type of activity is necessary and there are a multitude of programs out there that can be used for this type of malicious activity…and more. Remote access Trojans (RATs), or what we are calling creepware, are programs that are installed without the victim’s knowledge and allow an attacker to have access and control of the compromised computer from a remote location.

This blog will aim to give a general overview of creepware; describing what these threats are and what can, and is, done with them and what the implications are or both the victims and the users of creepware. The blog will also look at the economy of creepware, examining the underground market dealing in everything from the sale of software to the sale and trade of victims. Finally, we will look at how creepware is spread and how to protect against it.

Before we get into the details, here’s a video that will tell you what you need to know about the growing problem of creepware:

CreepVidFig.png

Figure 1Click this image to view Symantec’s creepware video
 

What exactly is creepware?

The acronym RAT is one that is often used when talking about a piece of software that allows someone to control a computer from a remote location. RAT can be an abbreviation for any of the following:

  • Remote Access/Administration Tool
  • Remote Access/Administration Trojan

The one difference between remote access tools and remote access Trojans is that the latter is installed surreptitiously and used for malicious purposes. There are many remote access tools, which are used for legitimate reasons such as technical support or connecting to a home or work computer while travelling etc. Unfortunately the same useful features found in remote access tools can be used for malicious activity and a great deal of malware has been designed with this in mind; these programs are called remote access Trojans. Once these Trojans are installed on a victim’s computer they can allow an attacker to gain almost complete control of it. Presence of the Trojan is indiscernible and an attacker can do almost anything that someone physically sitting at the computer can do, including recording footage using the webcam. Recent high-profile cases of this unsavory and creepy behavior have prompted the name creepware to be used when describing remote access Trojans.

Creepware uses a client-server model but switches the usual dynamic we think of when discussing client-server system setups. Creepware flips this process and makes the victim’s computer the server and the attacker’s computer becomes the client. Once the victim’s computer is compromised with creepware an attacker can send requests to it to retrieve files and perform a whole host of other nasty actions.
 

What’s the big deal?

While there was a time when the use of creepware was relatively rare it is now unfortunately becoming more common. Users of creepware can range from those who make money from extortion and fraud to those using the software for what they see as harmless fun or pranking, otherwise known as trolling. While these two activities may seem to some as very different, they both involve unauthorized access to computers, which is not only morally wrong but is also a serious crime.

Worryingly, morals do not seem to be high up on the list of characteristics when it comes to creepware users, a fact that is blatantly obvious when perusing the many online forums with sections dedicated to creepware.

creepware_blog_fig1.png

Figure 2. Doing it for the lulz

creepware_blog_fig2.png

Figure 3. Blackmailing victims

While many users on these forums seem to have no moral compass whatsoever, others have an extremely skewed view of what is right and wrong. In one thread a user justifies RATing (using creepware) people by saying it’s their own fault for downloading and installing programs from untrusted sources.

creepware_blog_fig3.png

Figure 4. Blaming the victims

Another forum user thinks that if all you do is watch your victims, without them knowing, then it’s fine.

creepware_blog_fig4.png

Figure 5. Justifying invasion of privacy

Trawling through the countless posts on creepware/remote access Trojans there seems to be a never-ending supply of users looking for help to set up their software and begin RATing. While there are a few who feel (mildly) guilty about doing what they do, the overwhelming majority see no harm in invading their victims’ privacy and in some cases making money from RATing. In a thread named “Morals of messing with people” one user asks fellow hackers their opinion on whether what they do is right.

creepware_blog_fig5.png

Figure 6. Moral dilemma

The replies speak for themselves.

creepware_blog_fig6.png

Figure 7. Moral bull****

Unfortunately, creepware users may not see, or care about, the damage that can be caused by creepware. There are plenty of cases where innocent people have fallen prey to creepware and have been left traumatized or worse by their attackers. One way in which creepware users monetize their activities is sextortion. Sextortion is a form of exploitation that employs non-physical forms of coercion to extort sexual favors from the victim.

In August 2013, Miss Teen USA, 19-year-old Cassidy Wolf became a victim of creepware. Miss Wolf was hacked by a fellow high-school student who used creepware to take pictures of her undressing in her bedroom. The hacker then attempted to blackmail his victim by threatening to publish the pictures online if she didn’t take more explicit photos but Miss Wolf went to the police. The hacker was eventually caught and pleaded guilty to hacking at least two dozen women in a number of countries.

Another well-publicized case involved an attacker using creepware to display a warning message box on his victims’ computers telling them that their webcam’s internal sensor needed to be cleaned. To do this, they were told to place the computer close to steam. Several of the women were subsequently recorded taking a shower when they had brought the computer into the bathroom.

Sadly, these cases are only the tip of the iceberg when it comes to creepware and the impact it can have on victims. Because many victims do not report this type of crime perpetrators often escape justice. Attackers can threaten to post stolen or recorded content online, and if this threat is carried out the victim’s reputation can be permanently damaged. The effects of this type of harassment and cyberbullying in general are long lasting and can even lead to suicide. Creepware, it would seem, is a cyberbully’s ideal tool.

Creepware and RATs are a global problem; they are used throughout the world, usually for all the wrong reasons.

creepware_country_stats_600x600_mk2.png

Figure 8. Top five countries for RAT activity in past six months
 

What can creepware do?

So what exactly can creepware do? There are an abundance of creepware programs on the market, such as Blackshades (W32.Shadesrat), DarkComet (Backdoor.Breut), Poison Ivy (Backdoor.Darkmoon), and jRAT (Backdoor.Jeetrat) to name but a few, many of these programs share the same core set of functionality. We’ll take a closer look at one in particular, the Pandora RAT detected by Symantec as Trojan.Pandorat.

Pandora RAT allows an attacker to gain access to the following items on a compromised computer:

  • Files
  • Processes
  • Services
  • Clipboard
  • Active network connections
  • Registry
  • Printers

If all that isn’t enough, Pandora can also allow an attacker to:

  • Remotely control the compromised desktop
  • Take screenshots
  • Record webcam footage
  • Record audio
  • Log keystrokes
  • Steal passwords
  • Download files
  • Open Web pages
  • Display onscreen messages
  • Play audio messages using the text-to-speech function
  • Restart the compromised computer
  • Hide the taskbar
  • Hide desktop icons
  • Cause system failure/blue screen of death

Ease of use and a slick graphical user interface (GUI) are very important factors in today’s design-focused world, and creepware is no exception. Pandora, as is common with other RATs, sports an easy-to-use GUI that can be mastered almost instantly by experts and novices alike. If the use of creepware was once reserved for hardened blackhat hackers it is now most definitely accessible to everyone from script kiddies to total noobs.

creepware_screen_shots_600x600_mk2.png

Figure 9. User friendly human computer interface of Pandora RAT

Creepware has many different uses including:

  • Voyeurism
    Attackers use the victim’s webcam and/or microphone to secretly record them.
  • Information/file stealing
    Information such as banking details or passwords and files such as pictures and videos can be copied or deleted.
  • Blackmail/sextortion
    Pictures or videos stolen from the computer, or recorded using the webcam, are used to force the victim into posing for explicit pictures or videos, performing sexual acts, or coercing money from the victim.
  • Trolling
    The attackers use creepware to cause the computer to behave strangely by opening pornographic or shocking websites, displaying abusive messages, or in some cases causing system damage all for their amusement.
  • Using computer for DDoS attacks, etc.
    Compromised computers can be used to carry out distributed denial of service (DDoS) attacks, bitcoin mining, or other functions where it may be beneficial for the attacker to use victims’ resources.
     

Creepware economy

Creepware is big business in the underground economy with a thriving market revolving around the sale of the software. The creepware itself can be purchased from the developers’ own websites or from people advertising on hacking forums. Advertisements for the sale of FUD crypters, JDB generators, and slaves among other things can be found in said forums. If you find this terminology a little bewildering, here are some useful definitions:

  • FUD – Fully undetectable (by security vendors)
  • Crypter – A tool used to rearrange files in a way that the actual bytes are scrambled, making it difficult to detect
  • JDB – Java drive-by – This involves a Java applet being placed onto a website, when the user visits the site a pop-up will appear asking for user permission. Once permission is given, the creepware is downloaded.
  • Slave – A computer that has been infected with creepware

If all that sounds a little too much like hard work, anyone interested in getting their own creepware setup can pay any number of willing “experts” to do all the leg work for them. Prices vary for different services. Creepware/RATs can be found for free but the ones that are for sale can cost anything up to $250. Add-on services, such as FUD crypting and setup cost between $20 and $50. As with most things these days, free advice and instructions can easily be found online with plenty of users eager to pass on their knowledge about the best tools, tricks, and methods concerning creepware.
 

What can users do to protect themselves?

The following methods may be used to infect computers with creepware:

  • Drive-by downloads – By visiting a website, the user unknowingly downloads the creepware onto their computer
  • Malicious links – Malicious links, leading to websites hosting drive-by downloads, are distributed using social media, chat rooms, message boards, spam email etc. The attacker may also hack user accounts to make it seem like the link is being sent by a friend. Others may try to lure victims by posting enticing messages.
  • Exploit kits – Potential victims may visit compromised websites or click on malicious links and are then redirected to the exploit kit’s server where a script runs that will determine what exploits can be leveraged. If an exploit is viable, the victim is infected with the creepware and the attacker is notified.
  • Peer-to-peer file-sharing/torrents – The creepware server installer is packaged with a file, usually a popular program or game crack, and shared on a file sharing site. Once the file is executed, the creepware server module is installed.

To stay protected against creepware, Symantec recommends users to:

  • Keep antivirus definitions, operating systems, and software up-to-date.
  • Avoid opening emails from unknown senders and clicking on suspicious email attachments.
  • Exercise caution when clicking on enticing links sent through email, instant messages, or posted on social networks.
  • Only download files from trusted and legitimate sources.
  • Be suspicious of unexpected webcam activity. When you’re not using the webcam, keep the shutter closed, if your webcam doesn’t have a shutter, use a piece of tape to cover it when not in use.

In today’s world, computers play an important role in our lives and the idea that such a ubiquitous tool could be used by an attacker to invade our privacy is a scary thought. While creepware is capable of causing a great deal of damage, taking appropriate defensive steps can keep you protected. By having good up-to-date security software and following some basic best practices we can all keep the creeps out of our computers.