ATMスキマーは以下のように設置される：



ビデオソース：Spiegel.de ＆ ドイツ連邦犯罪捜査局（Bundeskriminalamt）

 　Microsoftは第2火曜日にセキュリティ・アップデートを予定している。Adobeも最近、このスケジュールに追随し始めており、今日はAdpbeのアップデートは無いものの、2週間前に予定外のセキュリティ・アップデートがあった。

 　もしまだなら、そのアップデートをすぐに適用すべきだ。

 　何故か？

 　何故ならば現在、この脆弱性（CVE-2010-0188）が標的型攻撃で悪用されているからだ（Microsoftも同様）。

 　我々のサンプルは、ヨーロッパの金融機関から受けとったもので、ファイル名にはG20（20カ国財務大臣・中央銀行総裁会議の参加国）へのリファレンスが含まれている。同エクスプロイトはダウンローダをドロップし、「tiantian.ninth.biz」へ接続しようとする。我々はこの攻撃を「Exploit:W32/PDFExploit.G」と検出している。

 　このAdobe Reader脆弱性が、こんなにも早く利用されたことに、驚きは感じなかった。

 　我々のサンプル管理システムを通じて、標的型攻撃ファイルが増え続けていることは分かっていた。

 　2008年には1968ファイルだった。2009年、その数は2195だった。2008年から2009年にかけての総数は、さほど大きく変化していないが、Adobeを標的とする割合は増加している。

 　そして2010年の最初の2カ月はどうだろう？

 　そう、その数はこれまでに895となっており、このペースが続くなら、総数は昨年の2倍以上となるだろう。

 　Adobe Readerを標的とする割合は増え続けている。

 　以下は、標的型（スパイ）攻撃で使用される、もっとも一般的な攻撃ベクタを分析したグラフだ：

 　Darkmarketのオンライン犯罪者の一人である「JiLsi」が先週、約5年の懲役という判決を受けたため、我々はこの事件に関して、メディアからの質問を受けた。

 　特に、JiLsi（別名Renu Subramaniam）、Matrix001（別名Markus Kellerer）、Cha0（別名Cagatay Evyapan）がDarkmarketフォーラムに投稿を行っていた際、彼らがどのようだったかについて、一人のジャーナリストが知りたがった。

 　そこで私はメモをチェックし、この連中の投稿の例を、彼らのアバター・アイコン付きで掘り起こした。おそらくこれらは「News from the Lab」ブログ読者の皆さんにも、興味深いものではないだろうか。









ありがとう
ミッコ

 　誰かが我々のふりをしようとしている。皆さんが以下のようなメールを見掛けたら、無視して欲しい：

     From: security@f-secure.com
     Reply-To: securitysupport@hotxf.com
     Subject: Security Maintenance.F-Secure HTK4S
     Date: Fri, 5 Mar 2010 18:11:05 -0000
     To: undisclosed-recipients:;
     
     Dear Email Subscriber,
     
     Your e-mail account needs to be improved with our new
     F-Secure HTK4S anti-virus/anti-spam 2010-version.
     Fill in the columns below or your account will be
     temporarily excluded from our services.
     
     E-mail Address:
     Password:
     Phone Number:
     
     Please note that your password is encrypted
     with 1024-bit RSA keys for increased security.
     
     Management.
     
     Copyright 2009. All Rights Reserved.

 　皆さんに聞かれる前に申し上げておくなら、いや、我々は「F-Secure HTK4S anti-virus」なんてものも、いまだかつて聞いたことがない。

 　Flashを利用したSEOは、SEOポイズニングと同等に興味をひくと考えた矢先に、事態はより卑劣になっているようだ…

 　凶悪な何者かがオンラインにポストしたPDFファイルを想像して欲しい。もちろん、Googleは当然、そのファイルをPDFとみなしている。



 　そして開いてみても、このファイルは実際、PDFだ。内部に害のあるコードは含まれておらず、お馴染みのありきたりなPDFファイルに過ぎない。



 　3時間後…　Googleはまだ、そのファイルがPDFだとしている。Brod（エフセキュアのいかれた面々の一人）は、この件についてGoogleのキャッシュに原因があると考えている。



 　しかし、今回、本当にPDFなのだろうか？



 　それはモーフィングしたのだから！　そして今度はトピックさえ異なっている。皆さんがフォローすれば、これらのトピックから他のPDFへと導かれる：



 　少なくとも、それが変化するまでの2、3時間の間は…



 　悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウィルス詐欺となる。

 　投稿はChristineとMinaによる。

 　一日ごとに新たなニュースがあり、そう、そして新たなSEOポイズニングが…。



 　SEOポイズニングでのPDFファイルの使用は、割と最近のものだが、それほど新しいニュースではない。そこで私たちは、悪意あるURLをブラウザ保護に追加し、対応するファイルの検知を実施しようと考えていた…　そして我々は以下のようなものを見た：



 　OK、これだけかもしれない。そこで我々は他のサイトをチェックした：



 　そしてラボでは通例のマニアックなやり方で…我々は興奮した。

 　解凍すると、このSWFには以下が含まれていた：



 　多くのWebサイトがSWFを使用しているため、大部分のユーザは自分たちのブラウザに、既にFlashサポートをインストールしている。そしてそれにより、マルウェアの活動のサポートもしていることになる。

 　このSWFはもちろん、以下のことを始めるためのキーだ：







 　悪党連中は、これらの悪意あるURLをSWFの内部に隠そうとしているようだ。

 　おそらくこれで、彼らは自分たちのサイトがすぐには発見されないと考えて、安眠できることだろう。

 　これら悪意あるURLは現在、エフセキュアのブラウザ保護によりブロックされ、悪意あるファイルは検出される。

投稿はChristineとMinaによる。

 　先週、Microsoftが277のWaledacドメインに対して取った行動をご記憶だろうか？　あれも、ボットネットを追い詰める一つの方法だ…

 　ボットネットをシャットダウンする他の方法は？　ボットマスターたちを逮捕することだ！

 　「Mariposa」ボットネットを使用したかどで、スペイン国籍の3名が逮捕された。この3名は、伝えられるところでは前科は無く、ハッキング技術は限られたものだという。MariposaはButterfly Kitベースのボットネットで、同キットはすでに販売されていない。

 　詳細についてはBBCおよびThe Registerを参照のこと。今回の逮捕の関係者に賞賛を送りたい。