Tag Archives: Trojan.Shylock

In the first week of 2014, we came across a website using tried and tested social engineering techniques to coerce victims into installing malware. The domain http://newyear[REMOVED]fix.com, was registered on December 30, 2013. Based on our research, 94 percent of  attacks appear to be targeting users based in the United Kingdom through  advertising networks and free movie streaming and media sites.

The attackers attempt to trick victims using the following techniques:

• A URL containing the words “new year” and “fix”
• A professional looking template (from Google, Microsoft or Mozilla) telling the victim that a critical update is necessary for their system to function properly
• Redirecting the user, based on their browser type, to a fake but convincing Chrome, Firefox, or Internet Explorer Web page.
• Using a JavaScript loop to force the victim to give up and stay on site – users have to click on the “Yes/No” option 100 times in order to close the browser.

This particular social engineering attack is not novel, and plays on victims’ fear of needing to install urgent updates. Since the domain was registered only last week, it appears the attacker thought of this scheme at the very last minute, as the holiday season starts winding down.

The website, which is hosted in the Ukraine, uses a dual hybrid Web server setup by Apache and Nginx, with the latter identifying the victim’s browser and performing a redirect.

The user will see the Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer templates, shown in Figures 1 to 3, based on the type of browser they are using.

Figure 1. Page displayed to Chrome users

Figure 2. Page displayed to Firefox users

Figure 3. Page displayed to Internet Explorer users

Figure 4. JavaScript loop button which requires 100 clicks to close

At the time of this blog post, the Internet Explorer version of the Web page is no longer functional. The Chrome download page serves up Chromeupdate.exe while the Firefox download page serves up Firefoxupdate.exe.

Both of these samples are detected by Symantec as Trojan.Shylock. Symantec also has the following IPS coverage in place for this attack:

Web Attack: Fake Software Update Website

To stay protected against this type of threat, Symantec recommends that users:

• Keep antivirus definitions, operating systems, and software up-to-date.
• Exercise caution when clicking on enticing links sent through emails, messaging services, or on social networks.
• Only download files from trusted and legitimate sources.

Shylock は、オンラインバンキングを狙うきわめて高度なトロイの木馬であり（以前の記事を参照）、今も金融詐欺の脅威の分野では無視できない存在です。2011 年に控え目に登場して以来、その感染数は英国、イタリア、米国で増え続けていますが、標的となる金融機関の数も同様に増加しています。現在は、英国を中心として 60 以上の金融機関が標的となっています。

Shylock の主な目的は、標的となる金融機関の Web サイトのリストを作成して、MITB(Man-in-the-Browser）攻撃を仕掛けることです。この攻撃を利用してユーザーの個人情報を盗み出し、ソーシャルエンジニアリング手法によってユーザーを誘導して、狙った金融機関で不正な取引を実行させます。

追加モジュール
最近この Shylock が、機能を拡張するために追加のモジュールをダウンロードし、実行するようになりました。以下のモジュールが開発され、Shylock によってダウンロードされています。

• Archiver（録画されたビデオファイルをリモートサーバーにアップロードする前に圧縮する）
• BackSocks（侵入先のコンピュータをプロキシサーバーとして機能させる）
• DiskSpread（接続されたリムーバブルドライブを介して Shylock を拡散する）
• Ftpgrabber（さまざまなアプリケーションから保存されたパスワードの収集を可能にする）
• MsgSpread（Shylock を Skype のインスタントメッセージ経由で拡散させる）
• VNC（攻撃者が侵入先コンピュータにリモートデスクトップ接続できるようにする）

インフラ
Shylock は堅ろうなインフラを採用しています。トラフィック量の多い時間帯の冗長化と負荷分散が有効になっているので、サーバーは着信接続の数に応じて侵入先のコンピュータを別のサーバーにリダイレクトします。

Shylock で利用されている最初のレベルのサーバーは特定されており、次の 3 つのグループに分類されます。

1. 中央のコマンド & コントロール（C&C）サーバー（ボットネットの制御と保守に使われる）
2. VNC と BackSocks のサーバー（トランザクション中のリモート制御を可能にする）
3. JavaScript サーバー（MITB 攻撃でリモートの Web インジェクションを実行する）

図 1. Shylock のインフラで使われているサーバーのグループ

これらは、メインコンポーネントの制御に利用されているプロキシサーバーです。これらのサーバーの主な目的は、更新した以下の設定ファイルやモジュールを侵入先のコンピュータに提供して、Shylock の感染数を維持することにあります。

• バイナリファイル
• hijackcfg モジュール
• httpinject モジュール

侵入先のコンピュータで、新たに追加されたモジュールが実行されると、レポートログが C&C サーバーに送信されます。ログは暗号化通信を使って適切なサーバーにリダイレクトされ、サーバーは相互に Secure Socket Layer（SSL）として機能します。各サーバーは、相互の通信に以下のプロトコルを利用します。

• 「Debian 6」（”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”）としてフィンガープリントが設定されている SSH
• CentOS（”Server: Apache/2.2.15 (CentOS)”）を含む HTTPS 応答

現在は、5 つの中央 C&C サーバーが Shylock ボットネットを制御しています。これらのサーバーは、ドイツと米国の複数のホスティングプロバイダに置かれています。

標的変化を示すグラフ
Shylock は当初、英国内のコンピュータを主な標的としていましたが、今では他の国や地域にも広がっています。その一方、なかには標的として狙われなくなってきた金融機関もあります。セキュリティ対策が向上したため、あるいは高価値の業務用顧客を持っていないためと考えられ、Shylock はもっと見返りの大きそうな金融機関に的を絞り直しつつあります。

図 2. Shylock に感染したコンピュータ数（2011 年～ 2013 年）

図 3. 標的となる業種

Shylock の新しい攻撃は今後も続くものと予測され、シマンテックは Shylock の活動を引き続き監視していきます。

シマンテックの保護対策

• Trojan.Shylock
• Trojan.Shylock!gen1
• Trojan.Shylock!gen2
• Trojan.Shylock!gen3
• Trojan.Shylock.B
• Trojan.Shylock.B!gen1
• Trojan.Shylock.B!gen2

いつものことですが、基本的なセキュリティ対策（ベストプラクティス）に従って、ソフトウェアの最新パッチがインストールされていることを確認してください。また、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Shylock (a.k.a. The Merchant of Malice) is one of the most sophisticated banking Trojan horse programs presently occupying the financial fraud threat landscape. From its humble beginnings in 2011, it has seen increased infections in the United Kingdom, Italy, and the United States. This is consistent with the increased number of targeted financial institutions over that time period. Shylock is currently targeting over 60 financial institutions with the majority of them operating in the United Kingdom.

The main purpose of Shylock is to perform a man-in-the-browser (MITB) attack against a configured list of target organization websites. The attack is used to steal user credentials and apply social engineering tactics in order to convince the user to perform fraudulent transactions at the target institution.

Additional modules
Recently, Shylock has begun downloading and executing complementary modules in order to beef up its functionality. The following modules have been developed and are being downloaded by the threat.

• Archiver (compresses recorded video files before uploading them to remote servers)
• BackSocks (enables the compromised computer to act as a proxy server)
• DiskSpread (enables Shylock to spread over attached, non-fixed, drives)
• Ftpgrabber (enables the collection of saved passwords from a variety of applications)
• MsgSpread (enables Shylock to spread through Skype instant messages)
• VNC (provides the attacker with a remote desktop connection to the compromised computer)

Infrastructure
The Trojan employs a robust infrastructure that allows for redundancy and load-balancing during periods of high traffic, whereby servers will redirect compromised computers to another server depending on the number of incoming connections.

The first level of servers belonging to this threat has been identified and can be categorized into the following three groups:

1. Central command-and-control (C&C) servers (responsible for botnet control and maintenance)
2. VNC and Backsocks servers (enable remote control during transactions)
3. JavaScript servers (allow remote Webinjects during MITB attacks)

Figure 1. Groups of servers utilized in Shylock’s infrastructure

These are proxy servers that are used to control the main component. The main purpose of these servers is to maintain the Shylock infection base by providing the following updated configuration files and modules to compromised computers:

• Binary files
• A hijackcfg module
• A httpinject module

When a compromised computer performs one of the new, additional modules, it sends a report log to the C&C server. These logs are then redirected to the appropriate server using encrypted communication—the servers act as a secure socket layer (SSL) to each other. The servers use the following protocols when communicating with each other:

• SSH is fingerprinted as ”Debian 6” (”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”)
• HTTPS response includes ”CentOS” (”Server: Apache/2.2.15 (CentOS)”)

Five central C&C servers are currently controlling the Shylock botnet. These servers are situated in Germany and the United States at various hosting providers.

Evidence of a strain migration
At first, Shylock was specifically targeting computers located in the United Kingdom but it is now spreading to other countries. Also, as some financial institutions become less desirable as targets, either due to increased security measures or a lack of high-value business accounts, Shylock is refocusing its attacks on those offering potentially larger returns.

Figure 2. Computers infected with Shylock between 2011 and 2013

Figure 3. Targeted sectors

We expect to see new iterations of this threat in the wild and are continuing to monitor the threat landscape.

Symantec Protection

• Trojan.Shylock
• Trojan.Shylock!gen1
• Trojan.Shylock!gen2
• Trojan.Shylock!gen3
• Trojan.Shylock.B
• Trojan.Shylock.B!gen1
• Trojan.Shylock.B!gen2

As always, we recommend that you follow best security practices and ensure that you have the most up-to-date software patches in place, and that you use the latest Symantec technologies and virus definitions to ensure that you have the best protection against threats.