エフセキュアブログ

by:スレットインサイトチーム

Internet Explorerゼロデイと安全なブラウジング

  Javaゼロデイ「CVE-2012-4681」の背後にいる人びとは忙しくしている。このJava脆弱性が公表されたのは、わずか2、3週前のことで、現在彼らはInternet Explorerバージョン6、7、8および9で、再びセキュリティホールを発見した。

  この脆弱性を悪用するコードがイン・ザ・ワイルドで発見されており、悪意あるWebページが、ヒープスプレーにより他のファイルをロードさせるFlashファイルをロードする。その後、こうした他のファイルが悪用可能なIEのバージョンをチェックし、悪意あるペイロードのダウンロードを招く脆弱性を利用する。この問題については、ここで詳細に議論されている。

  Microsoftはこれに対応し、アドバイザリをリリースしている。しかし、まだフィックスのETAは明記していない。

  エフセキュアでは、この脆弱性を標的とするエクスプロイトに関連するサンプル用の検出をリリースした:

Exploit:W32/Defeater.B
Exploit:W32/Defeater.C
Exploit:W32/SWFdloader.R
Trojan.Dropper.UIU

  現在はMetasploitモジュールが存在し、同コードは既に非常に明らかになっているが、我々はこれらの検出のみに頼るのではなく、今後、他のインプリメンテーションの可能性から身を守るため、絶えず警戒を怠らないことも強く推奨する。IEとゼロデイでは、すべての非常ベルがなり響き、管理者は悪用により引き起こされるかもしれない騒動の可能性になすすべもなくパニックを起こしたものだ。しかし時代は変わり、現在は誰にとってもより多くのオプションが存在する。同脆弱性が修正されない間は、どうか他のブラウザを使用して頂きたい。いまのところChrome、Firefox、Internet Explorer 10から選択できる。

  IE 10は、この脆弱性の影響を受けない。

偽物を改良 - Android版

  偽AVがスポットライトを浴びた際、そのユーザインタフェースはかなり安っぽく明らかに不正なAVから始まり、非常に説得力のあるデザンに至った。悪党たちがそのレベルに到達するにはしばらく時間がかかったが、より多くの犠牲者集団を獲得するために、デザインを完璧にしようと実に労力をかけた。

  偽Androidアプリケーション用Webサイトは同じ道を辿っているようだ。かなり前から、これらは同じWebサイトレイアウトテンプレートを使用している。模倣している最新のアプリケーション例は、「Android Office」「Winamp」「Doodle Jump」「DrWeb」「Mass Effect,」および「Nova 3」だ。

android_template2

  しかし、そのトレンドは変化している。我々はすでに、より洗練されたデザインを生み出すため、テンプレートを使用していない偽アプリケーションもいくつか見かけている。

skype_instagram

  たとえば、このChromeと偽Chrome Webサイトだ。私が「FAKE(偽)」と入れいなかったら、違いがお分かりだったろうか?

chrome_fake_real

  こうしたサイトはますます説得力が増している。これらWebサイトのルック&フィールは2、3ヵ月後にはどうなるのだろうと考えさせられる。

  かなり見栄えが良いものが良いというわけではない。Androidの世界では、デバイスに何かをインストールする場合、我々は慎重になければならない。

  我々はこれらのサイトの悪意あるアプリケーションを「Trojan:Android/Fakeinst」ファミリーとして検出している。さらにエフセキュアでは、Browsing Protectionを通じて、このような悪意あるWebサイトへのアクセスからモバイルカスタマを保護している。








Intel OS Xバイナリを持つマルチプラットフォームバックドア

  月曜にKarminaが、複数のオペレーティング・システムを標的とするマルウェアについて記事を書いた。

  その際のMac OS XサンプルはPowerPCバイナリだった。昨日、我々はバックエンドシステムでIntel x86バージョンを受けとったが、これは似たようなタイプの攻撃で使われたようだ。

Social-Engineering Toolkit (SET) attack files

  まったく奇妙なことではない。今回、サンプルはサーバ199.180.197.59を使用しており、これは我々の分析中にはアクセス不能だった。OS X、Linux、Windows用に使用されるポートは、順に8080、8081、443だ。

  ペイロードは同じで、インプリメンテーションのみが変わっている。追加のシェルコードを実行させる(そしてリバースシェルを開ける)のに、リモートサーバに接続するのではなく、OS Xバイナリはただちにリバースシェルをオープンする。シェルへのアクセスを持つ攻撃者は、システムに対してほとんど何でもすることができる。

  Linuxバイナリは、異なるサーバを使用している以外、同様だ。Windowsでは、同じペイロードルーチンが現在シェルコードの形をとっている:

Windows payload in shellcode form

  シェルコードはSETモジュールshellcodeexec.binaryを使用して実行される。ひと言で言えば、フォームが異なり、異なるサーバとポートを使用しているものの、Windowsペイロードのふるまいも同様だということだ。

  これらのファイルは以下のように検出されている:

Backdoor:OSX/TESrel.A (MD5: 0c6f52069afb3e8f0019f6873fb7a8b0)
Backdoor:Linux/GetShell.A (MD5: 2241851dfb75b3562f4da30363df7383)
Backdoor:W32/TES.A (SET module shellcodeexec.binary / MD5: 7a0fcd15ee1c2d9d196ab6515adf2f87)

  バックエンドのこれらサンプルの様子から、我々が前回報告したこの事例が、唯一のケースでないことは明らかだ。

コロンビアのトランスポートサイトに潜むマルチプラットフォーム・バックドア

  我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。

  以下はWindowsを使用してアクセスした場合の表示だ:

ff_sig (46k image)

  そしてMacOSの場合:

mac_sig (52k image)

  JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。

jar_code (123k image)

  これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。

  これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

  MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:

intel (30k image)

  C&CおよびハッキングされたWebサイトについては報告済みだ。

  ペイロード分析をしてくれたBrodに感謝する。

追記:

  IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!

  このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。








いつもとは違うSkypeダウンロード

  我々は最近、Androidデバイス向けにSkypeアプリを提供するとおぼしきWebサイトを発見した。

  Androidデバイスから同サイトにアクセスすると、ダウンロード用にAPKファイル(skype52_installer.apk)が表示される:

skype_apk (25k image)

  しかし、iOSデバイスを使用して同サイトにアクセスすると、以下のスクリーンショットが示すような表示が現れる:

skype_iphone (24k image)

翻訳:
この新アプリは確認され、展開されている:skype.ipa
iphone_free_spaceをチェック


  その後、ユーザにインストールが「完了」したことが知らされる:

skype_iphone_confirm (25k image)

翻訳:
インストール完了!
新アプリskypeをいつでもインストールできる!
このアプリを違法使用から保護するため、あなたの電話番号を入力し、SMSメッセージのインストラクションに従って下さい。


  この時点で、デバイスにインストールされた新しいアプリケーションはまだ無い。案の定、電話番号を入力しても、何も起こらない。

skype_iphone_sms (47k image)

翻訳:
インストール完了!
確認のリクエストを含む無料SMSメッセージが送信されました。


  AndroidやiOS以外のデバイスから訪問すると、JARファイル(skype52_installer.jar)のプロンプトが表示される:

skype_jar (216k image)

  翻訳してくれたDmitriyに感謝する!








Java Drive-by Generator

  今日、非常に興味深い感染に遭遇した。あるサイトにアクセスしたところ、未知の発行者から「Microsoft」アプリケーションに関するセキュリティ警告を表示された。このサイトは実際、「Gmail Attachment Viewer」のふりをしている。Microsoft+Gmail? 失敗だ。

Google attachment

  同アプリケーションを実行させると、Cisco Foundationのインビテーションにリダイレクトされ、バックグラウンドでマルエウェア・バイナリがダウンロードされる。

Cisco invite

  このメッセージも同じマルウェアをダウンロードする悪意あるリンクを含んでいる。おそらく確実に感染させるためだろう。

  いずれにせよ、この感染はiJava Drive-by Generatorを使用して生成されるが、これは明らかにここしばらく見かけるものだ。

  同ジェネレータにより攻撃者はJavaファイルとドロップされるWindowsバイナリの双方に、ランダムな名称を使用するか、自身のプリファランスを指定することができる。

iJava main

  iJavaは感染の記録も行う。以下は上記の感染からのデータだ:

iJava 2ndp

  そしてこれは、この特定のマルウェアで感染が昨日始まったことを示している。これまで、Java Drive-byリンクに訪問したのは、たった83名だ。

  そしてありがたいことに、彼はあまり成功していない(くわばらくわばら):

iJava stats








また新たなSQLインジェクション攻撃

  どういうわけか、ASP/ASP.netサイトを標的とする、こうしたSQLインジェクションはまったく衰える気配が無い。

  最初にLizamoonがあった…何百万ものWebサイトが感染し、驚かされた。

  次にnikjju.comhgbyju.comといった、2、3の事例が続いた…

  そして今やnjukolだ…

google_results (256k image)

  その名はもはやLizamoonほどキャッチーではないが、そのアイディアは変わらない。

  このnjukol.comは、まだかなり新しいものだ。同ドメインは4月28日に登録されている。面白いのはドメインの登録者が以前のもの全てと同じままだということだ。

registrant (6k image)








不可解なJavaエクスプロイト

  先週、Kahu SecurityがJava攻撃の拡大に関する記事をブログに掲載した。Kahuの記事は、2つのJavaエクスプロイトを分析している。

Kahu Security, Java Attacks

  第1のエクスプロイトは、最新のJava脆弱性で、イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は(Windows版では)Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。先週の金曜、私はこの不可解なエクスプロイトをより詳しくチェックすることにした。

  最初私は、アプレットをデコンパイルし、分析した。しかし、「CVE-2012-0506」で一般に利用可能になったエクスプロイトやPOCは無かったため、特に気付いたことは無かった。そこで私は、可能性のある脆弱性のリストを狭めるため、Java Runtime Environmentの様々なバージョンでエクスプロイトをテストしようと考えた。最新バージョン(JRE6 update 31)を試すことから始め、予想通り、同エクスプロイトは既にパッチが当てられていたため、動作しなかった。次に私は、エクスプロイトが私のテスト環境で動く事を確認するため、より以前のバージョン(JRE6u25)でテストしたところ、実際に動いた。JRE update 30をテストし、エクスプロイトが動作しなかった時、私は少々驚いた。これは同サンプルは(私が期待していたように)「CVE-2012-0506」を悪用していないという、明らかな兆候だった。JRE6u30は依然としてこの脆弱性を持っていたからだ。

  さまざまなJREをテストし続け、JRE6 update 29はこの不可解な脆弱性にパッチを当てたバージョンであると確定した。このUpdate Release Notesは、アップデートでパッチが当てられた全ての脆弱性をリストした「Oracle Java SE Critical Patch Update Advisory - October 2011」にリンクしている。私の初期解析にもとづいて、同サンプルが若干のデシリアライゼーションの問題を悪用していること、デシリアライゼーションに関連するRisk Matrixの唯一の脆弱性が「CVE-2011-3521」であることは明白だった。ZDIの報告は興味深い2つの事実を明らかにしている。第1に、脆弱性を発見したのは、最近Oracleに加わったフィンランド人Sami Koivuだった。第2に、この問題は、まさにエクスプロイトがコールするCORBAコードの一部であるIIOPデシリアライゼーションにある。これにより不可解な脆弱性は…「CVE-2011-3521」であることが裏付けられた。

  土曜日、Contagiodumpが同じサンプルについて記事を書いた。Michael SchierはContagiodumpに電子メールを送り、Kahu Securityの最初のブログ記事に関して、脆弱性は「CVE-2012-0506」というよりはむしろ「CVE-2011-3521」の可能性が高いとコメントした。

Kahu Security, Mihi

  私はMichaelが正しいことを裏付けられる。彼の記事には、同脆弱性に関するさらなる詳細が書かれている。

  Javaクライアントを最新版にアップデートするか、必要ないときには停止するか、もっと良いのは、本当に必要でないなら完全に削除することを強くお勧めする。

  Javaのバージョンは、以下から確認できる:java.com/en/download/installed.jsp

  私が分析した同エクスプロイトのSHA1ハッシュは:83a04bd183ecb9e2598da9b67417cd57bc9f14fa

  「エフセキュア アンチウイルス」は同エクスプロイトを「Exploit:Java/CVE-2011-3521.A」として検出する。

—————

では
Timo

あまり知られていないBlackholeのエクスプロイト

  調査され、何度も分析されているにも関わらず、Blackholeにはまだ思いがけない驚きがある。我々が発見したばかりなのが、「CVE-2011-0559」のエクスプロイトで、これは現在Blackholeが使用している2つのFlashエクスプロイトの一つだ。

Flash code

  他のエクスプロイトと比較して、これはかなり以前から使用されているが…様々なセキュリティ製品を使用してもカバー率は非常に低い。

VirusTotal results

  アンチウイルスのカバー範囲が低く、Metasploitが存在せず、そしてPoCを見つけるのが極めて困難なため、悪用の可能性が高まることになる。BlackholeはAdobe Flash 10.0およびそれ以前のバージョン、10.1、10.0.x(xは40以降)の悪用を目的としている。脆弱性は2011年3月に修正されている。「エフセキュア アンチウイルス」では、「Exploit:W32/CVE-2011-0559.A」として検出される。

  Blackholeの驚きは止まらない。

—————

Threat Insight Post by — Karmina and Timo








WordPressページがロード中…エクスプロイトを

  WordPress.orgが再び、標的にされており、今回は大して洗練されていないものの、感染は現在も、インターネットユーザーが慎重を期する足りるほど広まっている。

  スパムはキャンペーンのドライバのようだ。すでにさまざまなWebサイトが、Blackholeエクスプロイト・キットにリダイレクトしていることが分かっている。障害の起きたWebサイトは訪問すると、以下のページのいずれかを表示する:

tuit html

quick html

opek html

irta html

company html

aic html

  シンプルで無防備… しかし実際、美しく作成されたWebサイトが普通である時代に、これら偽サイトは本物と考えるにはあまりに質素だ…

  そして実際、これらは本物ではない…

Browsing Protection Result

  現在、これらのサイトはBlackholeエクスプロイト・キットをホスティングする、以下のドメインにリダイレクトされる:

  •  georgekinsman.net
  •  icemed.net
  •  mynourigen.net
  •  synergyledlighting.net
  •  themeparkoupons.net

  皆さん、何をクリックしているのかに用心して欲しい。安全なブラウジングを!

Threat Insight post by — Karmina

FacebookスパマーがAmazonのクラウドを利用

Facebookはこのところ、サーベイ系スパム投稿を食い止めるため、適切な仕事をしている(全体的に見て)。

  では、企業家精神溢れるFacebookスパマーはどうすべきだろうか? 一部は自分達の基本計画を微調整し、「クラウド」サービスの利用を拡大している。

  AmazonのS3ファイル・ホスティングサービスを利用することで、こうした連中の問題のかなり多くが解決される。第1に、AmazonのS3ウェブサービスは非常に安価に設定できるため、サーベイから儲けを出すことができる。第2に、Facebookはスパムにリンクする疑わしいURLをブロックすることにかなり成功しているため、amazonaws.comのような安全で人気のあるドメインで自分達の詐欺のコードをホスティングすることにより、Facebookの防御をすり抜ける可能性が高くなる。

  以下の図は、アジェンダの基本的な流れを示している。

Facebook, Amazon S3, Spam diagram

  ChromeとFirefox以外の全ブラウザでは、サーベイ・ページが供されるため、スパマーのサーベイが記入され、提出されると、実際に収益を上げることができる。このマネタイゼーションは、大部分のソーシャル・メディア・スパムの背後にあるCost Per Action(CPA)マーケティング・モデル内で起きる。スパマーのサーベイ完了率を高めようと、位置情報技術が使用されている。位置によって、偽Facebookページが特定のアフィリエイト・マーケターにリダイレクトされるサーベイを表示するのだ。

Father Melts Baby's Brain With Motorboat Sounds

  FirefoxとChromeは、不正なYouTubeブラウザ・プラグインの使用により、Facebookを介して詐欺をさらに拡大するための手段として使用される。これらブラウザのどちらかからアクセスされると、偽Facebookページはプラグインのインストールを表示する。

  スパマーは最近、Facebookとのイタチごっこの戦いの一部として、プラグインを使い始めている。

Father Melts Baby's Brain With Motorboat Sounds

  プラグインをインストールすると、Amazonのウェブ・サービスでmo1torからmo15torまで、ユーザー名からランダムに選択することで、リダイレクタURLが生成される。次に生成されたリンクは、ハードコードされた5つのuserIDとAPI key-parのいずれかを使用して、bitly.comを通じて短縮される。これらのkey-parによりスパマーは、Amazonウェブ・サービスのリンク用に、自動的にbit.ly URLを生成することが可能になる。これは最終的に、偽Facebookページへのリダイレクションに導く。

  おそらくは防衛を混乱させようとして、wowvideo[random number].comのフォーマットを使用した存在しないドメインもランダムに作成される。しかしAmazon S3ウェブ・サービスとbit.ly URLのみが実際に使えるリンクだ。

  以下がこのポストの構成だ:

Title: [Video] Father Melts Baby's Brain With Motorboat Sounds
Messages:

  •  hahaha this video will bend your mind
  •  have you all seen this yet?
  •  stop it! his eyes are going to pop out!!
  •  Its eyes are black because it has no soul
  •  must be experimental technology from mother russia!
  •  im afraid i have some bad news
  •  i want you to all see this

Summary: Total meltdown! I bet you have never seen this before!
Main URL: www.wowvideo[random number].com

  以下が実際の例:

Father Melts Baby's Brain With Motorboat Sounds

  問題のあるアドオンは、Firefoxでは「Uninstall」、Chromeでは「Remove」を使用して取り除くことができる:

Chrome Extensions

Firefox Extensions

  ちなみに、配布されたFirefoxプラグインは…Macでアーカイブされた。

Mac OS X

  これが「Windows」の問題だと考えるかもしれないので念のため。 ;-)

Threats Insight post by — Karmina

携帯電話の秘密の機能をアンロック!…しない。

  昨日我々は、Android関連サイトから以下の広告を見つけた:

android_malicious_website (65k image)

  これをクリックすると、悪意あるAndroid Marketに導かれた:

android_malicious_website_2 (106k image)

  ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。

  通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスでホスティングされている。我々の注意を引いたあるサイトは、携帯電話の秘密の機能をアンロックすると主張していた。この同じサイトは、ロシアのフォーラムでプロモートされていることも分かった。

  同サイトを訪問すると、「Phone Optimizer」であることが示される:

phone_optimizer_text (160k image)

  上のテキストは、携帯電話メーカは金をかせぐため、携帯電話の機能を隠すことが知られていると述べている。この考えは、メーカが秘密の機能をアンロックするOSアップデートを通じて、金を儲けるというものだ。同サイトは、このような秘密の機能を自分の電話でチェックし、アンロックすると主張している。

  以下はスキャン結果の例とその英訳だ:

phone_optimizer_scan (145k image) phone_optimizer_scan_translation (44k image)

  電話のモデルはUser Agentをチェックすることで、正しく識別された。ダウンロードリンクは同国のロケーションに基づいた番号に、有料課金型のSMSを送信する悪意あるファイルへと導く。

  悪意あるページは、Androidデバイスのみを標的にしているのではない。Android端末を使用してアクセスすると、「optimizer.apk」というファイルが発行される。またはファイル「optimizer.jar」をダウンロードする。

  我々はこのマルウェアを「Android/FakeNotify.A」(APK)および「Trojan:Java/FakeNotify.C」(JAR)として検出している。

  エフセキュアの「Browsing Protection for Mobile」はこの記事で特定された悪意あるリンクを、ブロックすることが可能だ:

bp_block (135k image)

  ちなみに、我々の読者に:もし皆さんが怪しいモバイル・サンプルに出会ったら、分析のため、遠慮無く我々に送って欲しい:android-labs@f-secure.com.



-   投稿はRaulfとKarminaによる(また、ロシア語と英訳ではDimaの協力を得た)







複製されたAndroidアプリ:共生か寄生か?

  先頃、「Android Market」に酷似した偽サイトでホスティングされている、悪意あるAndroidパッケージインストールに関する報告があった。これは広告リンクからユーザにプッシュされる。

  ディストリビューションの戦略そのものに、目新しいところは無い。このタイプのバリエーションは2年前、Google広告で起きた。このケースでは、広告によりプッシュされたのはローグもしくはスケアウェアだったが。

  このケースで興味深いのは、Androidアプリケーションのリパッケージだ。我々はここ数ヶ月、こうした戦法が非常に頻繁に使用されているのを目撃しているが、これはマルウェアの作者が新たなAndroidマルウェアをプロデュースする際に好まれる「手っ取り早い」方法のようだ。

  これはデベロッパが、「新しい」クリーンなアプリケーションをプロデュースする際の、ポピュラーな方法らしいことも興味深い。我々は公式「Android Market」に、リパッケージされたアプリケーションが多数ポストされているのを見ている。(AndroidアプリはJavaで書かれており、そのためクローン化の敷居は非常に低く、リバースエンジニアリングに対する実際の障害も無い。)

  以下に挙げたのは、最近見た例だが、左がオリジナルのアプリ、右側がリパッケージされたアプリだ:

original app repackaged app


original app details repackaged app details


  リパッケージされたアプリケーションは、オリジナルと同じモジュールを装備しているが、広告モジュールを含んでいる。場合によってはオリジナルアプリケーションからのテクニカルな変更は全く無い。もちろん、アプリ名は変更されているが。

  我々が見たリパッケージされたアプリの大部分は、悪意あるコードを含んでいないという点で「クリーン」だ。これまでのところ、有料アプリとして配布されたリパッケージアプリの事例も見ていない。

  おそらく、リパッケージのポイントは、広告モジュールを含んでおり、ユーザが表示される広告を見たり、クリックしたりすることで、デベロッパが何らかの金銭的な報酬を得るというところにあるようだ。

  しかし、リパッケージはたいてい、オリジナルの開発者の同意を得ずに行われるため、リパッケージされたアプリはおそらく違法コピー、もしくは少なくともオリジナルのデベロッパに対する知的所有権の侵害と考えられるだろう。

  特にGoogleが「Android Market」にポストされるすべてのアプリケーションを、積極的に精査するわけではないことを考えると、これはしかし、ちょっとしたグレーゾーンだ。大多数のデベロッパ—そしてユーザが、これらのリパッケージアプリを「オープンマーケット」思想の単なる副作用の一つと考えるのか、あるいはデベロッパの真っ当な努力の搾取と考えるのかは、まったく予測がつかない。

Threat Insight post by — Raulf

AppStoreフィッシング

今度フィッシング攻撃に関する別の記事を見て、「自分がそれに引っかかる可能性は無いな」と考えた場合には、再考した方がいいかもしれない。一般ユーザはフィッシングの試みを発見するのが上手くなっているので、作者たちは戦法を変えており、事前に標的について研究する時間をかけているからだ。

  たとえば以下の電子メールは、最近iPadからAppStoreで買い物をした人宛に送られたものだ。この「偶然の一致」によるタイミングは、少なくとも、受信した人の注意を引くには充分だ。スプーフィングされたアドレスと曖昧なリンクといったトリックとあいまって、受信者が罠に引っかかる可能性もある。

AppStore Phishing

AppStore E-mail Phishing Text

  では、受信者がリンクをクリックしたら何が起きるのか? このリンクがドラッグストアサイトに導くことが分かるだろう。奇妙だ。我々は偽のiTunes/AppStoreページが現れ、受信者はそこで自分のアカウント情報を入力するよう促されることを予期している。しかし、そういうことは起きなかった。

ThreatInsight post by — Rauf

改変されたFacebookビデオスパム

先週、オサマ・ビンラディンの死に関連するFacebookのビデオスパムが発生した。以前のスパムは、基本的に以下のバリエーションだった:

fbspam (75k image)

  興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる:

fakesecuritycheck (36k image)

  ユーザは基本的に、スクリプトのコピー・ペーストを実行する:

fbspamcode (67k image)

  そのコードはユーザの最も親しい友人たちに(スパムと共に)メッセージを送る。

  それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。

  受け取ったスパムは以下のようなものだ:

friendspam (36k image)

  次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。(注意:そうすることは推奨しない。)

  次に、ブラウザの下に以下の表示が現れた:

fbspamcode_latest (5k image)

  このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。

  次に、ポップアップボックスが現れた:

verificationfailnotice (36k image)

  さらに、以下のページにリダイレクトされる:

redirect (66k image)

  作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。

傍注 - 「iPhoneから」のポスト? まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる:

fbspamcode2 (45k image)

  例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。


----

Threat Insight post by Shantini and Rauf


バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード