Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts by Joji Hamada remove filter
SMS 詐欺に利用される偽の Android マーケットが再登場
Joji Hamada | 17 hours 51 min ago | 0 comments

シマンテックは、モバイルプラットフォームにおける SMS 詐欺に関連した大規模攻撃の監視をしばらく前から続けてきましたが、今もまだ新しい動きが絶えず確認されています。新しいドメインが毎日のように作成され、新しい亜種が常にリリースされています。ほとんどの活動は特筆するほどのものではありませんが、つい先日も、サーバーサイドポリモーフィズムを利用した APK マルウェアに関する注目すべき動向について論じたばかりです。今週はじめシマンテックは、技術的に目新しくないものの、新しい活動に関する警告という点で注意が必要な新しいタイプのサイトを確認しました。

少し前のことですが、偽の Android マーケットが公開され、最終的にマルウェアと判定されたさまざまなアプリがホスティングされていたことがありました。以下の図でもわかるように、ページの外見は公式の Android マーケットと若干異なっています。

 

詐欺師はその後、最新の Android マーケットにもっとよく似た改訂バージョンを公開しました。実際、URL さえ見なければ、普通の人には偽のマーケットと公式のマーケットの区別がつかないかもしれません。

実際のアプリケーションのページの一例を見てみましょう。公式ページからまるまるコピーアンドペーストされたように瓜二つです。

...

Read more
Revamped Fake Android Market for SMS Fraud
Joji Hamada | 10 Feb 2012 | 0 comments

We have continued monitoring the massive campaign involving SMS Fraud on the mobile platform for a while now as new activities are constantly taking place. New domains are created practically every day and new variants are being released consistently. Most activities are not really noteworthy. However, we did discuss a recent development of interest regarding the APK malware using server-side polymorphism. And earlier this week, we came across a new type of site that is not technically interesting, but is worthy of a mention in order to warn people about the new activity.

A little while back, a fake Android Market was developed that hosted various Apps that were ultimately malware. As you can see below, the page looks slightly different from the official Android Market.

...
Read more
Office を悪用した新しい標的型攻撃が出現
Joji Hamada | 10 Feb 2012 | 0 comments

寄稿者: Takayoshi Nakayama

先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。

これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありませんが、.dll ファイルが電子メールで送られてくることはあまりないでしょう。

この脆弱性の悪用では、Word の文書ファイルに埋め込まれた ActiveX コントロールが使用されます。Word 文書を開くと ActiveX コントロールによって fputlsat.dll が呼び出されますが、このファイルの名前は、Microsoft Office FrontPage Client Utility Library で使われる正規の .dll ファイルと同じです。この悪用に成功すると、マルウェアがシステム上に投下されます。.dll ファイルが機能するには、ファイル名が fputlsat.dll でなければならないので、電子メールで文書ファイルとともにこの名前のファイルが送られてきた場合は警戒が必要です。悪用に成功すると、fputlsat.dll が削除され、Thumbs.db ファイルと置き換えられます。攻撃者が Thumbs.db...

Read more
New Targeted Attack Using Office Exploit Found In The Wild
Joji Hamada | 09 Feb 2012 | 0 comments

Contribution: Takayoshi Nakayama

I was going through some files we acquired related to targeted attacks the other day and an unusual set of files caught my eyes. We did some analysis on the files and it turns out a pair of files in the set exploits a vulnerability we have not seen in the wild before. Microsoft is aware of the issue and notes users who have applied MS11-073 are fully protected.

The files stand out from the common targeted attacks because a Microsoft Word document file is paired with a .dll file. Usually, targeted attacks involve one file which drops malware. The pair would most likely arrive to the target wrapped in an archive file attached to an email. It is common to see document files sent by email inside an archive, but typically, you would not see .dll files ever sent by email.

The exploit makes use of an ActiveX control embedded in a Word document file....

Read more
日本人を狙う、スマートフォンアプリを使ったワンクリック詐欺
Joji Hamada | 12 Jan 2012 | 0 comments

2011 年の夏、スマートフォンを狙ったワンクリック詐欺が発見されました。以降、現在ではワンクリック詐欺はすっかり広まっているため、スマートフォンを使って特定のキーワードをインターネット検索しただけでワンクリック詐欺サイトに引っかかってしまう確率は、かなり高くなっています。なかでも典型的なのが、ユーザーを欺いて有料サービスに登録させようとする単純な攻撃で、ページにはユーザーとそのスマートフォンについての詳しい情報が表示されます。これは、一定の金額が支払われなかった場合にサイトの所有者が法的な手段に訴えることもあるとユーザーに信じ込ませることを狙った脅迫の手法です。悪質なファイルの関与はありませんでした。詳しくは、このブログ記事を参照してください。

2012 年に入った現在では、スマートフォンを狙うワンクリック詐欺はさらに進化し、アプリケーションを利用するようになっています。詐欺にファイルを利用するのは Windows プラットフォームでは一般的で、何年間も使われ続けています。たとえば、ユーザーがコンピュータ上でビデオを再生しようとすると、HTML アプリケーションファイル(.hta)を実行するように要求され、実行するとデスクトップに何度もポップアップメッセージが表示されるというものがあります。

では、スマートフォンの場合には詐欺を実行するためにどのようにアプリケーションが使われているのか調べてみましょう。以下の図は、ワンクリック詐欺サイトの一例を示したページです。外見は、ビデオを再生できる、よくあるアダルト向け Web サイトのように見えます。

ビデオをクリックすると、18 歳以上かどうかの確認を求める認証ページが開きます。

...

Read more
Smartphone App Used for One-Click Fraud in Japan
Joji Hamada | 12 Jan 2012 | 0 comments

During the summer of 2011, one-click fraud targeting smartphones was discovered. One-click fraud has now become so common that doing a quick search for certain keywords on the Internet using a smartphone leads to a high possibility of coming across one of the scam sites. The typical attack simply attempts to trick users into registering for a paid service. Details of the users and their phones are displayed on the page in an attempt to convince them that the site owners may take legal actions if the user does not pay them a certain amount of money.  There were no malicious files involved. More details are available in this blog.

Now, in 2012, one-click fraud for smartphones has evolved  and begun to use applications.  File usage for the fraud is common on the Windows platform and has been used for years.  When users attempt to view a video on a computer, they...

Read more
標的型攻撃に利用される、パスワードで保護された悪質な文書ファイル
Joji Hamada | 04 Jan 2012 | 0 comments

最近シマンテックは、パスワードで保護された PDF や Word などの文書ファイルを利用するマルウェアが存在することを確認しました。このマルウェアは、電子メールの添付ファイルとして、限定的な標的型攻撃で使われています。

文書ファイルにパスワードを利用する本来の目的は、パスワードを設定して暗号化することによってファイルへの不正なアクセスを防ぐことにあります。ところが今回の攻撃者は、このパスワード機能を悪用してファイルを暗号化し、セキュリティ製品によるマルウェア検出をすり抜けようとしています。また、解析するにはファイルの復号が必要なので、リバースエンジニアリングも難しくなります。

このようなマルウェアは、それ自体が特別なものではありません。典型的な標的型攻撃で使われている一般的な添付ファイルと異なるのは、開くときにパスワードを要求されるという点だけです。各種のオフィススイートソフトウェアには、パスワード暗号化の機能があるので、この種の攻撃に使われる形式は文書ファイルに限りません。ワープロソフトウェアのファイルだけでなく、表計算やプレゼンテーションなどのソフトウェアのファイルも悪用される可能性があります。

これまでにも、パスワードで保護されたメール添付ファイルはたびたび出現しましたが、通常はアーカイブファイルでした。添付ファイル自体が検出されるのではなく、アーカイブ内のファイルが、抽出されたときに検出されるのです。ところが今回の攻撃の場合は、添付ファイルそのものが、パスワードで保護された、すなわち暗号化されたファイルです。もちろん、シマンテックのセキュリティ製品は従来型とプロアクティブ方式の検出技術を使って、投下あるいはダウンロードされたファイルを、他の攻撃のファイルと同じように検出しますが、パスワードで保護された文書が迷惑メールに添付されている場合は、この新しい手口にご注意ください。

攻撃者は次々と新しい手口をレパートリーに加えていますが、多層型の防御を使っているかぎり、一般の標的型攻撃より感染のリスクが高くなることはありません。

...

Read more
Malicious Password-protected Documents used in Targeted Attacks
Joji Hamada | 29 Dec 2011 | 0 comments

Recently, we discovered malware in the wild in the form of document files, such as PDF and Word, using password protection. The malware are used as attachments in email in limited, targeted attacks.

Passwords for document files are commonly used to prevent unauthorized access to the files by encrypting them with passwords. However, attackers are misusing the password feature to encrypt files, most likely to make it difficult for security products to detect them as malware. It also makes reverse-engineering the files difficult because they need to be decrypted before analysis can be performed.

These malware themselves aren’t anything special. They are no different to the common attachments used in typical targeted attacks except for the fact that they require passwords to be opened. Various office suite software includes a password encryption feature, so document files are not the only...

Read more
日本のスマートフォンを狙うワンクリック詐欺
Joji Hamada | 25 Nov 2011 | 0 comments

アダルト系コンテンツを利用した詐欺の一種、いわゆる「ワンクリック詐欺」が、しばらく前から日本のコンピュータユーザーを狙い続けています。ワンクリック詐欺では、Web サイト上のコンテンツにユーザーがアクセスするよう仕向けますが、そのコンテンツはほとんどがポルノ関係です。そうしたコンテンツ(ほとんどの場合は動画)にユーザーがアクセスを試みると、実際の動画と一緒にマルウェアがダウンロードされ、感染先のコンピュータで実行されます。マルウェアは次に、わいせつ画像のポップアップウィンドウを次々と表示し、Web サイトへの有料会員登録を求めてきます。ポップアップウィンドウは閉じることができないため、ポップアップを消したいばかりに、やむをえずサービスの料金を支払ってしまうユーザーも少なくありませんが、それでもウィンドウはまだ閉じられないことがあります。コンピュータを家族や友人と共有しているユーザーであれば特に、知られたくない閲覧履歴を隠したいばかりに支払いに応じてしまう可能性は高くなるでしょう。ワンクリック詐欺については、以前のブログで詳しく説明しています。

ワンクリック詐欺はコンピュータの世界で依然として続いていますが、最近ではスマートフォン、特に Android と iPhone を狙ったサイトも確認されるようになりました。Windows Phone と BlackBerry でもこのサイトは表示できますが、現時点で標的にはなっていません。

ユーザーがこの手の詐欺にひっかかってしまうのは、スパムメールのリンクをクリックしたか、Web サイト上で見かけたリンクをクリックしたときです。スマートフォンの場合、ユーザーはスマートフォン用の電子メールアドレスでスパムを受信します*。以下の画像は、スマートフォンのメールアドレス宛てに送信されるように特別に作成されたスパムメールの例です。リンクをクリックすると、ブラウザが起動してアダルトサイトが開きます。サイトの上部を見るとわかるとおり、このサイトは iPhone と Android OS...

Read more
One-Click Fraud Targeting Smartphones in Japan
Joji Hamada | 22 Nov 2011 | 0 comments

A type of fraud involving adult related content, called “one-click fraud”, has been targeting computer users in Japan for a while now. Typically, the fraud involves users attempting to access content on websites, which are usually pornography-related. When a user attempts to access this content-- in most cases the content is a movie--malware is downloaded and executed on the compromised computer along with the actual movie. The malware then continuously displays pop-up windows with lewd pictures asking for payment to register to the website. Since the pop-up windows will not go away, many users end up paying for the service in the hope that the pop-ups will disappear, although they may not actually disappear. Users who share the computer with their friends and families are more likely to make the payment as they would rather keep their potentially embarrassing surfing habits a secret. Some time ago I wrote...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,791