Tag Archives: Trojan.Shylock

?????????????? 2014 ???????: ????????????? 53 % ????????????????

2014 年、金融機関を狙うトロイの木馬の感染件数は減少したものの、攻撃者が最新のセキュリティ対策を回避し始めたことで、依然として多くの脅威が拡散しています。

Read More

Financial Trojans in 2014: Takedowns contributed to 53 percent drop in infections, but threat is still prevalent

While the number of financial Trojan detections decreased in 2014, the threat was still considerable, as attackers moved to bypass newer security measures.Read More

Cavalos de Troia em 2014: Queda de 53% nas infecções, mas a ameaça ainda prevalece

Ainda que o número de detecções de Trojans financeiros tenha diminuído em 2014, a ameaça ainda é considerável, já que os atacantes alteraram suas táticas para contornar as medidas de segurança mais recentes.

Read More

Troyanos Financieros: Las infecciones disminuyeron 53 por ciento en 2014, pero la amenaza prevalece

Aunque el número de detecciones de Troyanos financieros disminuyó durante 2014, la amenaza fue considerable, ya que los agresores se han movido para evadir nuevas medidas de seguridad.

Read More

All That Glitters Is No Longer Gold – Shylock Trojan Gang Hit by Takedown

The gang behind one of the world’s most advanced financial fraud Trojans has experienced a major setback after an international law enforcement operation seized a significant amount of its infrastructure.

??????????????????????????

      No Comments on ??????????????????????????

2014 年最初の週に、シマンテックは定番とも言えるソーシャルエンジニアリングの手法を使い、被害者に強制的にマルウェアをインストールさせる Web サイトを確認しました。ドメインは http://newyear[削除済み]fix.com で、2013 年 12 月 30 日に登録されています。シマンテックの調査によると、攻撃の 94% は英国のユーザーを狙っているようであり、広告ネットワークと、無料動画ストリーミングサイトやメディアサイトを通じて攻撃が仕掛けられています。

攻撃者は、以下のような手口で被害者を欺こうとします。

  • URL に「new year(新年)」や「fix(修正)」などの語句が含まれる。
  • いかにもそれらしい見かけのテンプレート(Google、Microsoft、Mozilla などの)を使い、システムの正常な動作には緊急のアップデートが必要であると説明する。
  • ブラウザの種類に応じて、Chrome、Firefox、Internet Explorer の Web ページにユーザーをリダイレクトする。リダイレクト先は偽サイトだが、まるで本物のように見える。
  • JavaScript のループ処理を使って、被害者がしかたなくサイトにとどまるように仕向ける。ブラウザを閉じるには、[Yes/No]オプションを 100 回もクリックしなければならない。

このようなソーシャルエンジニアリング攻撃は、独特ではありますが目新しいものではありません。緊急のアップデートをインストールしなければならないというユーザーの不安感を狙っています。ドメインは昨年末に登録されたばかりですが、もうホリデーシーズンも終わる時期だったので、攻撃者がこの手法を思いついたのは、ぎりぎり最後のタイミングだったようです。

Web サイトは、ウクライナにホストが置かれ、Apache と Nginx によってセットアップされたデュアルハイブリッド Web サーバーを利用しています。被害者のブラウザを識別してリダイレクトを実行しているのは、このうち Nginx です。

ユーザーには、使っているブラウザの種類に基づいて Google Chrome、Mozilla Firefox、または Microsoft Internet Explorer のテンプレートが表示されます(図 1 から 3)。

Fake Browser Update 1.png

図 1. Chrome のユーザーに表示されるページ

Fake Browser Update 2.png

図 2. Firefox のユーザーに表示されるページ

Fake Browser Update 3.png

図 3. Internet Explorer のユーザーに表示されるページ

Fake Browser Update 4.png

図 4: JavaScript のループを使ったボタン。100 回クリックしないと閉じない

この記事の執筆時点では、Internet Explorer 版の Web ページはすでに機能しなくなっています。Chrome のダウンロードページからは Chromeupdate.exe がダウンロードされ、Firefox のダウンロードページからは Firefoxupdate.exe がダウンロードされます。

どちらのサンプルも、シマンテックは Trojan.Shylock として検出します。シマンテックは、この攻撃に対して以下の IPS 定義を提供しています。

Web Attack: Gongda Exploit Kit Website

この手の脅威から身を守るために、シマンテックは以下のことを推奨します。

  • ウイルス対策定義、オペレーティングシステム、ソフトウェアを最新の状態に保つ。
  • 電子メールやメッセージサービス、ソーシャルネットワークで送られてきたリンクがどんなに魅力的でも不用意にクリックしない。
  • ファイルは、信頼できる正規のソースだけからダウンロードする。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

 

 

Fake Browser Update Site Installs Malware

In the first week of 2014, we came across a website using tried and tested social engineering techniques to coerce victims into installing malware. The domain http://newyear[REMOVED]fix.com, was registered on December 30, 2013. Based on our research, 94 percent of  attacks appear to be targeting users based in the United Kingdom through  advertising networks and free movie streaming and media sites.

The attackers attempt to trick victims using the following techniques:

  • A URL containing the words “new year” and “fix”
  • A professional looking template (from Google, Microsoft or Mozilla) telling the victim that a critical update is necessary for their system to function properly
  • Redirecting the user, based on their browser type, to a fake but convincing Chrome, Firefox, or Internet Explorer Web page.
  • Using a JavaScript loop to force the victim to give up and stay on site – users have to click on the “Yes/No” option 100 times in order to close the browser.

This particular social engineering attack is not novel, and plays on victims’ fear of needing to install urgent updates. Since the domain was registered only last week, it appears the attacker thought of this scheme at the very last minute, as the holiday season starts winding down.

The website, which is hosted in the Ukraine, uses a dual hybrid Web server setup by Apache and Nginx, with the latter identifying the victim’s browser and performing a redirect.

The user will see the Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer templates, shown in Figures 1 to 3, based on the type of browser they are using.

Fake Browser Update 1.png

Figure 1. Page displayed to Chrome users

Fake Browser Update 2.png

Figure 2. Page displayed to Firefox users

Fake Browser Update 3.png

Figure 3. Page displayed to Internet Explorer users

Fake Browser Update 4.png

Figure 4. JavaScript loop button which requires 100 clicks to close

At the time of this blog post, the Internet Explorer version of the Web page is no longer functional. The Chrome download page serves up Chromeupdate.exe while the Firefox download page serves up Firefoxupdate.exe.

Both of these samples are detected by Symantec as Trojan.Shylock. Symantec also has the following IPS coverage in place for this attack:

Web Attack: Fake Software Update Website

To stay protected against this type of threat, Symantec recommends that users:

  • Keep antivirus definitions, operating systems, and software up-to-date.
  • Exercise caution when clicking on enticing links sent through emails, messaging services, or on social networks.
  • Only download files from trusted and legitimate sources.

Fake Browser Update Site Installs Malware

In the first week of 2014, we came across a website using tried and tested social engineering techniques to coerce victims into installing malware. The domain http://newyear[REMOVED]fix.com, was registered on December 30, 2013. Based on our research, 94 percent of  attacks appear to be targeting users based in the United Kingdom through  advertising networks and free movie streaming and media sites.

The attackers attempt to trick victims using the following techniques:

  • A URL containing the words “new year” and “fix”
  • A professional looking template (from Google, Microsoft or Mozilla) telling the victim that a critical update is necessary for their system to function properly
  • Redirecting the user, based on their browser type, to a fake but convincing Chrome, Firefox, or Internet Explorer Web page.
  • Using a JavaScript loop to force the victim to give up and stay on site – users have to click on the “Yes/No” option 100 times in order to close the browser.

This particular social engineering attack is not novel, and plays on victims’ fear of needing to install urgent updates. Since the domain was registered only last week, it appears the attacker thought of this scheme at the very last minute, as the holiday season starts winding down.

The website, which is hosted in the Ukraine, uses a dual hybrid Web server setup by Apache and Nginx, with the latter identifying the victim’s browser and performing a redirect.

The user will see the Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer templates, shown in Figures 1 to 3, based on the type of browser they are using.

Fake Browser Update 1.png

Figure 1. Page displayed to Chrome users

Fake Browser Update 2.png

Figure 2. Page displayed to Firefox users

Fake Browser Update 3.png

Figure 3. Page displayed to Internet Explorer users

Fake Browser Update 4.png

Figure 4. JavaScript loop button which requires 100 clicks to close

At the time of this blog post, the Internet Explorer version of the Web page is no longer functional. The Chrome download page serves up Chromeupdate.exe while the Firefox download page serves up Firefoxupdate.exe.

Both of these samples are detected by Symantec as Trojan.Shylock. Symantec also has the following IPS coverage in place for this attack:

Web Attack: Fake Software Update Website

To stay protected against this type of threat, Symantec recommends that users:

  • Keep antivirus definitions, operating systems, and software up-to-date.
  • Exercise caution when clicking on enticing links sent through emails, messaging services, or on social networks.
  • Only download files from trusted and legitimate sources.

?????????????????? Shylock

      No Comments on ?????????????????? Shylock

Shylock は、オンラインバンキングを狙うきわめて高度なトロイの木馬であり(以前の記事を参照)、今も金融詐欺の脅威の分野では無視できない存在です。2011 年に控え目に登場して以来、その感染数は英国、イタリア、米国で増え続けていますが、標的となる金融機関の数も同様に増加しています。現在は、英国を中心として 60 以上の金融機関が標的となっています。

Shylock の主な目的は、標的となる金融機関の Web サイトのリストを作成して、MITB(Man-in-the-Browser)攻撃を仕掛けることです。この攻撃を利用してユーザーの個人情報を盗み出し、ソーシャルエンジニアリング手法によってユーザーを誘導して、狙った金融機関で不正な取引を実行させます。

 

追加モジュール
最近この Shylock が、機能を拡張するために追加のモジュールをダウンロードし、実行するようになりました。以下のモジュールが開発され、Shylock によってダウンロードされています。

  • Archiver(録画されたビデオファイルをリモートサーバーにアップロードする前に圧縮する)
  • BackSocks(侵入先のコンピュータをプロキシサーバーとして機能させる)
  • DiskSpread(接続されたリムーバブルドライブを介して Shylock を拡散する)
  • Ftpgrabber(さまざまなアプリケーションから保存されたパスワードの収集を可能にする)
  • MsgSpread(Shylock を Skype のインスタントメッセージ経由で拡散させる)
  • VNC(攻撃者が侵入先コンピュータにリモートデスクトップ接続できるようにする)

 

インフラ
Shylock は堅ろうなインフラを採用しています。トラフィック量の多い時間帯の冗長化と負荷分散が有効になっているので、サーバーは着信接続の数に応じて侵入先のコンピュータを別のサーバーにリダイレクトします。

Shylock で利用されている最初のレベルのサーバーは特定されており、次の 3 つのグループに分類されます。

  1. 中央のコマンド & コントロール(C&C)サーバー(ボットネットの制御と保守に使われる)
  2. VNC と BackSocks のサーバー(トランザクション中のリモート制御を可能にする)
  3. JavaScript サーバー(MITB 攻撃でリモートの Web インジェクションを実行する)

Server_image.png

図 1. Shylock のインフラで使われているサーバーのグループ

これらは、メインコンポーネントの制御に利用されているプロキシサーバーです。これらのサーバーの主な目的は、更新した以下の設定ファイルやモジュールを侵入先のコンピュータに提供して、Shylock の感染数を維持することにあります。

  • バイナリファイル
  • hijackcfg モジュール
  • httpinject モジュール

侵入先のコンピュータで、新たに追加されたモジュールが実行されると、レポートログが C&C サーバーに送信されます。ログは暗号化通信を使って適切なサーバーにリダイレクトされ、サーバーは相互に Secure Socket Layer(SSL)として機能します。各サーバーは、相互の通信に以下のプロトコルを利用します。

  • 「Debian 6」(”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”)としてフィンガープリントが設定されている SSH
  • CentOS(”Server: Apache/2.2.15 (CentOS)”)を含む HTTPS 応答

現在は、5 つの中央 C&C サーバーが Shylock ボットネットを制御しています。これらのサーバーは、ドイツと米国の複数のホスティングプロバイダに置かれています。

 

標的変化を示すグラフ
Shylock は当初、英国内のコンピュータを主な標的としていましたが、今では他の国や地域にも広がっています。その一方、なかには標的として狙われなくなってきた金融機関もあります。セキュリティ対策が向上したため、あるいは高価値の業務用顧客を持っていないためと考えられ、Shylock はもっと見返りの大きそうな金融機関に的を絞り直しつつあります。

first_graph.png

図 2. Shylock に感染したコンピュータ数(2011 年~ 2013 年)

second_graph.png

図 3. 標的となる業種

Shylock の新しい攻撃は今後も続くものと予測され、シマンテックは Shylock の活動を引き続き監視していきます。

シマンテックの保護対策

いつものことですが、基本的なセキュリティ対策(ベストプラクティス)に従って、ソフトウェアの最新パッチがインストールされていることを確認してください。また、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Shylock Beefing Up and Looking for New Business Opportunities

Shylock (a.k.a. The Merchant of Malice) is one of the most sophisticated banking Trojan horse programs presently occupying the financial fraud threat landscape. From its humble beginnings in 2011, it has seen increased infections in the United Kingdom, Italy, and the United States. This is consistent with the increased number of targeted financial institutions over that time period. Shylock is currently targeting over 60 financial institutions with the majority of them operating in the United Kingdom.

The main purpose of Shylock is to perform a man-in-the-browser (MITB) attack against a configured list of target organization websites. The attack is used to steal user credentials and apply social engineering tactics in order to convince the user to perform fraudulent transactions at the target institution.

 

Additional modules
Recently, Shylock has begun downloading and executing complementary modules in order to beef up its functionality. The following modules have been developed and are being downloaded by the threat.

  • Archiver (compresses recorded video files before uploading them to remote servers)
  • BackSocks (enables the compromised computer to act as a proxy server)
  • DiskSpread (enables Shylock to spread over attached, non-fixed, drives)
  • Ftpgrabber (enables the collection of saved passwords from a variety of applications)
  • MsgSpread (enables Shylock to spread through Skype instant messages)
  • VNC (provides the attacker with a remote desktop connection to the compromised computer)

 

Infrastructure
The Trojan employs a robust infrastructure that allows for redundancy and load-balancing during periods of high traffic, whereby servers will redirect compromised computers to another server depending on the number of incoming connections.

The first level of servers belonging to this threat has been identified and can be categorized into the following three groups:

  1. Central command-and-control (C&C) servers (responsible for botnet control and maintenance)
  2. VNC and Backsocks servers (enable remote control during transactions)
  3. JavaScript servers (allow remote Webinjects during MITB attacks)

Server_image.png

Figure 1. Groups of servers utilized in Shylock’s infrastructure

These are proxy servers that are used to control the main component. The main purpose of these servers is to maintain the Shylock infection base by providing the following updated configuration files and modules to compromised computers:

  • Binary files
  • A hijackcfg module
  • A httpinject module

When a compromised computer performs one of the new, additional modules, it sends a report log to the C&C server. These logs are then redirected to the appropriate server using encrypted communication—the servers act as a secure socket layer (SSL) to each other. The servers use the following protocols when communicating with each other:

  • SSH is fingerprinted as ”Debian 6” (”OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)”)
  • HTTPS response includes ”CentOS” (”Server: Apache/2.2.15 (CentOS)”)

Five central C&C servers are currently controlling the Shylock botnet. These servers are situated in Germany and the United States at various hosting providers.

 

Evidence of a strain migration
At first, Shylock was specifically targeting computers located in the United Kingdom but it is now spreading to other countries. Also, as some financial institutions become less desirable as targets, either due to increased security measures or a lack of high-value business accounts, Shylock is refocusing its attacks on those offering potentially larger returns.

first_graph.png

Figure 2. Computers infected with Shylock between 2011 and 2013

second_graph.png

Figure 3. Targeted sectors

We expect to see new iterations of this threat in the wild and are continuing to monitor the threat landscape.

Symantec Protection

As always, we recommend that you follow best security practices and ensure that you have the most up-to-date software patches in place, and that you use the latest Symantec technologies and virus definitions to ensure that you have the best protection against threats.