エフセキュアブログ

Browsing Protection を含む記事

Browlockがロシア人風になる

 事態は驚くべき展開を迎えた。いまやBrowlockはロシア人を標的としているようだ。

 何らかの理由で、Browlockのリンクが加えられた感染サイトを訪れた不運なやつがいたとしよう。



 その感染したページで5秒経つと、以下の「ブラウザロック画面」が表示されるだろう。



 このページはどうやら非常に上手なロシア語で書かれており、ざっと翻訳すると次のようになる。

 ロシア連邦内務省(警察当局)

 [当局は]、このコンピュータが、暴力、同性愛ポルノ、小児性愛に関する題材を調べるといった違法な悪事に使用されていることを検出しました。

 こうした行為は[引用された法律]に基づき、禁止されています。この行為に対し800〜4000ルーブルの罰金が課されます。支払う意思がなければ、[引用された法律]に基づき収監されることになります。

 すでに行為はなされているため、1000ルーブルを直ちに支払う必要があります。任意のモバイル・ターミナル(これのサンプルを下に掲載)により、この罰金を支払うことができます。あるいはこの罰金の合計金額を+79054014516番という電話番号に連絡してください。支払いは12時間以内に実施しなくてはなりません。

 支払い完了後、ロック解除コードが記載された入金確認書が送られます。そのコードを下のフィールドに入力しなければなりません。支払いを行いたくない場合、刑事訴訟に取り掛かるために、不法行為に関する資料をすべて検察当局に送信します。また警官隊を居住場所に派遣します。


 上述のモバイル・ターミナルのサンプルの画像を以下に挙げる。



 ユーザがブラウザやタブを閉じようとすると、次のようになる。



 この「ブラウザロック画面」はブラウザが使用不可能であるように表示されるが、単にダイアログボックスを引き延ばしただけで、Enterキーを押すだけでブラウザが閉じる。コンピュータにもたらされる害はない。

 これまでのところChromeのみで動作するが、ロシアを含め異なる国々からアクセスがあると適切なページが読み込まれる。

 Browlockのページは現在Browsing Protectionによってブロックされる。



—————

Post by — Christine、Patricia、Dmitriy

フランカ市のWebサイトが侵害

 当社製品が検知した悪意あるリダイレクタのURLを分析しているとき、.gov.brドメイン上にホストされたFlashオブジェクトが目に留まった。私のポルトガル語の腕はちょっと鈍ってしまったので、ブラジルの当社オフィスにいる同僚に頼ったのだが、彼女は当該ドメインがブラジル サンパウロ州フランカ市に属するものであることを確認した。

 このWebサイト上のJavaScriptファイルの1つに、Flashリダイレクタを読み込む悪意あるコードが書き加えられていた。以下はFiddlerによるセッションの一部だ。

Screenshot of Fiddler session

 黄色で強調したのがリクエストで、悪意あるFlashオブジェクトを読み込み、別のドメインへブラウザをリダイレクトするiflameを挿入する(画面キャプチャのぼかした部分)。

 オープンソースのコンテンツマネジメントシステムJoomlaの、古くなったバージョン1.5の弱点を突かれてWebサイトが侵害されたように見受けられる。これはおそらく、パッチが当てられていないバージョンを稼働している.gov.brのWebサイトに限った話ではない。シニアセキュリティリサーチャーFabio Assolini氏は、Twitterで.gov.brドメイン上のインシデントは非常によくあると指摘している。

 当社は今回のインシデントについて、CSIRT、CTIR Govに連絡を取った。

 当社はこの悪意あるFlashオブジェクト(SHA1:b0c68dbd6f173abf6c141b45dc8c01d42f492a20)をTrojan:SWF/Redirector.EQとして検知する。加えて、このWebサイトが正常になるまで、当社のBrowsing Protectionコンポーネントは侵害されたURLへのアクセスをブロックする。

Post by — @Timo

探していたモバイルアンチウイルスではない

 当社のあるアナリストがAndroid端末でMalaysiakini(マレーシアで人気のWebサイト)を閲覧しているとき、以下の広告に気づいた。

mkini_scam_ad

 この広告をクリックすると、外部サイトに飛び、以下が表示される。

mkini_scam_ad_download_screen

 Windowsシステム用の(時にはMacの)ローグウェアのWebページで、長年のあいだ目にしてきたテキストと同じ類のものを連想させる。

 「Download and Scan Now」ボタンをクリックすると、アンチウイルスアプリケーションのように見える画像が現れる。

mkini_scam_ad_download_screen_2

 さらにその画像をクリックすると、電話番号を要求し、興味深い文を掲載したページへと飛ばされる。

mkini_scam_ad_number_submission

 「This is an ongoing subscription service until you quit. You will receive 4 sms per week and chargeable at RM4 per message. Only [REMOVED] user will receives max 3 sms per week and chargeable at RM4 per message. Data charges are billed separately by mobile operators.(これは退会するまで利用継続するサービスです。1週間ごとに4通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。○○ユーザのみ毎週最大3通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。データ通信費は別途、携帯電話会社から請求されます。)」

 つまり、これはSMS購読サービスだ。電話番号を提供すると、ユーザはサービスへ登録するための説明が書かれたSMSメッセージを受け取る。

 一度登録すると、別のSMSが送付され、ダウンロード用のリンクが提示される。リンクをクリックしてみたところ、「Sorry, you have exceeded the allowed download limit.(申し訳ございませんが、ダウンロードの制限を超えています。)」というメッセージがあるだけだった。当該サイトのトップページは「under construction.」になっている。

 幸運なことに、登録方法が記載されたSMSには、サービスの停止方法の説明も含まれていた。

 我々は通常、モバイルアプリケーションのダウンロードを行う際に、要求されるパーミッションを読むようにユーザに勧めている。今回のケースでは、ダウンロードする前に説明文を読むことも、賢明だ。広告をクリックしたところで、これはおそらくユーザが探しているサービスではない。

 現在のところ当社のBrowsing Protection機能では、APKのダウンロードが想定されるサイトはSuspicious(疑わしい)と判定している。

追記

 Windowsベースのローグウェアと同様、この「Androidアンチウイルス」詐欺は他のOSも認識している。ただし、餌を微調整するのに失敗している。

iOS:

mkini_scam_iPod

Windows Phone:

mkini_scam_lumia620

ペテン広告経由の、フィンランドのWebサイトへの攻撃

フィンランドの人口はまあ少ないが、そこでエフセキュアは比較的大きなマーケット・シェアを持っている(当然だ)。そして時折、フィンランドが一種の統計試験場になるような、「大変な」何かが起こる。

 以下は、11月24〜27日の間にフィンランドで発生したマルウェアの検知(防御)件数のグラフだ。

Finland cloud statistics, Nov.24-Nov.27

 続いて12月1〜4日の同じグラフは、次のようになった。.

Finland cloud statistcs, Dec.1-Dec.4

 このような劇的な違いがあるのはなぜだろうか?

 フィンランドで最も人気のあるWebサイトの1つsuomi24.fiが利用している広告ネットワークが、12月の期間中、侵害されたのだ。そしてSuomi24によると、このマルウェアのトラフィックはすべて、あるサード・パーティの広告主のネットワークから、1つの広告を通じてプッシュされていた、とのことだ。

 たった1つの広告だ。

 当社のBrowsing Protection機能の利用者なら、次のような画面を目にしたはずだ。

F-Secure Browsing Protection block

 また、このサイト・ブロッキングが有効になっていなかったら、次のようなアンチウイルスからの通知がある。

F-Secure antivirus block

 何がブロックされたって?「ペテン・アンチウイルス」である。偽のセキュリティ・ソフトウェアだ。

 こちらはあるバージョンだ。

Fake Microsoft Security Essentials scan

 そして、こちらが別のバージョンだ。

Rogue's fake scan

 これらのペテン・プログラムは実際には脅威がないかコンピュータをスキャンしたりしない。しかしながら、いそいそと課金はするのだ。ペテン師は無料のトライアルなど提供せず、前払いを要求する。

Rogue asking for payment

 前払い? これは一般に不適切な何かがあることを示す優れたサインだ。

偽物を改良 - Android版

  偽AVがスポットライトを浴びた際、そのユーザインタフェースはかなり安っぽく明らかに不正なAVから始まり、非常に説得力のあるデザンに至った。悪党たちがそのレベルに到達するにはしばらく時間がかかったが、より多くの犠牲者集団を獲得するために、デザインを完璧にしようと実に労力をかけた。

  偽Androidアプリケーション用Webサイトは同じ道を辿っているようだ。かなり前から、これらは同じWebサイトレイアウトテンプレートを使用している。模倣している最新のアプリケーション例は、「Android Office」「Winamp」「Doodle Jump」「DrWeb」「Mass Effect,」および「Nova 3」だ。

android_template2

  しかし、そのトレンドは変化している。我々はすでに、より洗練されたデザインを生み出すため、テンプレートを使用していない偽アプリケーションもいくつか見かけている。

skype_instagram

  たとえば、このChromeと偽Chrome Webサイトだ。私が「FAKE(偽)」と入れいなかったら、違いがお分かりだったろうか?

chrome_fake_real

  こうしたサイトはますます説得力が増している。これらWebサイトのルック&フィールは2、3ヵ月後にはどうなるのだろうと考えさせられる。

  かなり見栄えが良いものが良いというわけではない。Androidの世界では、デバイスに何かをインストールする場合、我々は慎重になければならない。

  我々はこれらのサイトの悪意あるアプリケーションを「Trojan:Android/Fakeinst」ファミリーとして検出している。さらにエフセキュアでは、Browsing Protectionを通じて、このような悪意あるWebサイトへのアクセスからモバイルカスタマを保護している。








WordPressページがロード中…エクスプロイトを

  WordPress.orgが再び、標的にされており、今回は大して洗練されていないものの、感染は現在も、インターネットユーザーが慎重を期する足りるほど広まっている。

  スパムはキャンペーンのドライバのようだ。すでにさまざまなWebサイトが、Blackholeエクスプロイト・キットにリダイレクトしていることが分かっている。障害の起きたWebサイトは訪問すると、以下のページのいずれかを表示する:

tuit html

quick html

opek html

irta html

company html

aic html

  シンプルで無防備… しかし実際、美しく作成されたWebサイトが普通である時代に、これら偽サイトは本物と考えるにはあまりに質素だ…

  そして実際、これらは本物ではない…

Browsing Protection Result

  現在、これらのサイトはBlackholeエクスプロイト・キットをホスティングする、以下のドメインにリダイレクトされる:

  •  georgekinsman.net
  •  icemed.net
  •  mynourigen.net
  •  synergyledlighting.net
  •  themeparkoupons.net

  皆さん、何をクリックしているのかに用心して欲しい。安全なブラウジングを!

Threat Insight post by — Karmina

携帯電話の秘密の機能をアンロック!…しない。

  昨日我々は、Android関連サイトから以下の広告を見つけた:

android_malicious_website (65k image)

  これをクリックすると、悪意あるAndroid Marketに導かれた:

android_malicious_website_2 (106k image)

  ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。

  通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスでホスティングされている。我々の注意を引いたあるサイトは、携帯電話の秘密の機能をアンロックすると主張していた。この同じサイトは、ロシアのフォーラムでプロモートされていることも分かった。

  同サイトを訪問すると、「Phone Optimizer」であることが示される:

phone_optimizer_text (160k image)

  上のテキストは、携帯電話メーカは金をかせぐため、携帯電話の機能を隠すことが知られていると述べている。この考えは、メーカが秘密の機能をアンロックするOSアップデートを通じて、金を儲けるというものだ。同サイトは、このような秘密の機能を自分の電話でチェックし、アンロックすると主張している。

  以下はスキャン結果の例とその英訳だ:

phone_optimizer_scan (145k image) phone_optimizer_scan_translation (44k image)

  電話のモデルはUser Agentをチェックすることで、正しく識別された。ダウンロードリンクは同国のロケーションに基づいた番号に、有料課金型のSMSを送信する悪意あるファイルへと導く。

  悪意あるページは、Androidデバイスのみを標的にしているのではない。Android端末を使用してアクセスすると、「optimizer.apk」というファイルが発行される。またはファイル「optimizer.jar」をダウンロードする。

  我々はこのマルウェアを「Android/FakeNotify.A」(APK)および「Trojan:Java/FakeNotify.C」(JAR)として検出している。

  エフセキュアの「Browsing Protection for Mobile」はこの記事で特定された悪意あるリンクを、ブロックすることが可能だ:

bp_block (135k image)

  ちなみに、我々の読者に:もし皆さんが怪しいモバイル・サンプルに出会ったら、分析のため、遠慮無く我々に送って欲しい:android-labs@f-secure.com.



-   投稿はRaulfとKarminaによる(また、ロシア語と英訳ではDimaの協力を得た)







フィンランドの複数の銀行でマンインザミドル攻撃

  現在、「Nordea」および「Osuuspankki」という、少なくとも2つのフィンランドの銀行に対し、複数のマンインザミドル攻撃が進行中だ。

  両行はワンタイムパスワードおよびベリフィケーションコードを使用しており、普通のフィッシングは攻撃者達に、アカウント番号以外、ほとんど価値を与えない。しかしこのケースでは、攻撃は銀行取引を完了しようとするサーバサイドのマンインザミドル攻撃に結びついている。

  以下は偽のNordeaサイトの例だ:

Nordea, man-in-the-middle

  同ネットバンクの顧客が自分のアカウントIDとワンタイムパスワードを入力すると、2分間待つように言われる:

Nordea, man-in-the-middle

  これは攻撃サーバに転送の設定を行う時間を与え、次に顧客はいくつかの確認コードのうちの一つを要求される:

Nordea, man-in-the-middle

  そして次に、顧客は時間をさいたことに感謝される:

Nordea, man-in-the-middle

  このプロセスは以下のような電子メールで誘導される:

Tama on vuosittainen ilmoitus koskien Osuuspankki tiliasi. Sinun tilisi pitaa vahvistaa. Ole hyva ja klikkaa alapuolella olevaa linkkia ja seuraa ohjeita: Ystavallisesti, Osuuspankki
Screenshot by Henry Hagnas

  この電子メールはOsuuspankkiの顧客を標的としており、年に一度の見直しの一環として、アカウントの確認をするように依頼している。

  同攻撃のフィッシング部分は、Nordeaの例と同様で、最初にIDとパスコードが要求される:

Ossuspankki, man-in-the-middle

  次に2分間待つようリクエストされる:

Ossuspankki, man-in-the-middle

  それから確認コードが要求される:

Ossuspankki, man-in-the-middle

  Nordeaは、下手なフィンランド語で書かれた電子メールに注意するよう、顧客に警告を出している。

  残念なことに、エサのメールはかなり短く(そして誰もが注意深く読むわけではない)、顧客がリンクをクリックすると、そこにあるフィンランド語は皆、バンク自身のサイトからコピーされたものとなる。電子メールからのリンクは絶対にクリックせず、ブラウザのブックマークから銀行にアクセスすること、というのがより良いアドバイスだろう。

  エフセキュアのBrowsing Protectionツールバーは、現在使用されている既知のURLを全てブロックするが、登録名義人は少なくとも他に90のドメインを持っているため、新たな亜種がすぐにオンラインに登場する可能性はある。

F-Secure Browsing Protection

  フランスでホスティングされているマンインザミドルサーバが、すぐにシャットダウンされると良いのだが。

クラウドに多数のフィッシング

  我々は新たなフィッシングの試みに遭遇した。今回は、Maybank(マレーシアの主力銀行の一つ)の「ラッキーな」カスタマが標的とされた。用いられているのは典型的な手法だ。すなわち他の誰かの権限をよそおい、次にカスタマに自分のアカウントを確認するよう要請し、「Transaction Authorisation Code」も必要であることを思い出させることさえする。

maybankphishing (48k image)

  さらなる調査により、この電子メールはスパムサーバに由来することが分かっているが、我々に分かったのはそれだけだ。その他のトラックはすべて、慎重に隠蔽されている。

  フィッシングの試みには何ら新しいところは無いが、開発途上国周辺でのフィッシングの動きは、最近増加しているようだ。初期のアクティビティの張本人であるグループは、フォーカスを新しい市場に移したのだろうか? おそらく彼らは、ローカライズされれば、怪しげなリンクも検出をくぐり抜け、逃れるチャンスが高まると考えたのだろう。同地域のカスタマが、おそらくオンラインバンキングを最近知ったばかりであるという事実を考えても、高度なソーシャルエンジニアリング手法に容易に引っかかる可能性は高い。

  理由がなんであれ、これらの詐欺師たちが意図することは一つだ。すなわち、金を稼ぐために利用できる価値ある情報を手に入れる、ということだ。「Browsing Protection」のようなツールは、ユーザを危険なサイトへのアクセスから保護する助けとなるが、最も良い方法は自分の安全に自ら責任を負うことだ。ユーザが罠に落ちることを避けるには、悪意ある連中により通常実行されるトリックを知っておく必要がある。

(管理人註:この記事のタイトルは原文の「Plenty of Phish in the Cloud」に基づきました)

Facebookスパムワームが「モバイルエンターテイメント」にリンク

  昨日、Facebookに広がった調査スパムワームは、「via Mobile Web(Mobile Webを介して)」プロフィールWallに投稿された。

  我々のラボでは、常にモバイルに関するあらゆる事に興味を持っているため、「All Facebook」の記事を見直してみた。アップデートで、彼らは同スパムがメッセージを介しても広がっていることを示している。

  そしてスクリーンショットで、「artcentertransportation.com」を指し示しているリンクが確認出来る:

http://www.allfacebook.com/alert-massive-new-survey-scam-spreading-on-facebook-2010-09

  このサイトは「ジェーン・ドウ」で登録されており、Dynamic Dolphinにより米国でホスティングされている。フィンランドからこのURLにアクセスすると、(tracklead.netを介して)「モバイルエンターテイメント」を提供している「Wixawin」という別のサイトにリダイレクトされる。では、彼らはどんなエンターテイメントを提供するのか?

  登録料金として月額17.50ユーロかかる類のものだ。

  我々の「Mobile Security Browsing Protection」を有効にしてWixawinにアクセスした場合、以下のような画面を見ることになるだろう。

Mobile Security Browsing Protection

  この件の背後にあると思われるアフィリエイトIDは「affiliateid=WANE」だ。このスパムはMobile Webを介して投稿されており、そのため必要なリファラを含んでいるのだろうか?

  いずれにせよ、このスパマーが何を狙っているにせよ、同アフィリエイトネットワークが無効にすることを期待しよう。

モバイルブラウザ保護とディープガード

  「エフセキュア モバイル セキュリティ」の最新リリースには、新機能がある。そしてラボに直接影響を及ぼすのはブラウザ保護だ。

  「エフセキュア モバイル セキュリティ」のバージョン6では、ユーザはフィッシング・サイトから保護される。

  有害なWebサイトは以下のようにブロックされる:

Mobile Security Browsing Protection

  フィッシングはデスクトップに限定されていない。多くの攻撃が、まさにスマートフォンでも機能している。

  しかし、これが全てではない。我々は「エフセキュア モバイル セキュリティ」のAndroidバージョンもリリースした。

http://www.htc.com/www/product/g1/overview.html

  全バージョンはここで確認できる。

法人向け製品 新バージョンのご紹介1

どうもエフセキュア 富安です。
前回の投稿から随分経ってしまいました。今後はもうちょっと短い間隔で投稿出来るように頑張りたいと思います。。。

それはさておき、昨日、法人向けのWindows用製品の新バージョンをリリースしましたので、旧バージョンから変更/追加された機能を中心にご紹介したいと思います。

今回リリースしたのは、Windows XP等のワークステーション向けエンドポイント製品のエフセキュア クライアントセキュリティ Ver9.00 / エフセキュア アンチウイルス ワークステーション Ver9.00と、それを集中管理するためのポリシーマネージャ Ver9.00になります。

今日は、エフセキュア クライアントセキュリティ Ver9.00に追加された、ブラウザ保護の機能について紹介したいと思います。

先行してリリースしましたコンシューマ向けのエフセキュア インターネットセキュリティ2010には既に搭載されている機能ですが、今回の新バージョンで法人向けのエフセキュア クライアントセキュリティ Ver9.00にも搭載されました。


ブラウザ保護は、ユーザが危険なWebサイトにアクセスしないようにするための機能です。
クライアントセキュリティをインストールして機能を有効にすると、ブラウザにアドオンとしてブラウザ保護のツールバーが追加されます。

browsing_protection_toolbar

「評価: 安全」と「評価: 不明」のWebサイトにアクセスした場合には、通常通りWebサイトが表示されます。

ただし、「評価: 危険」の場合は、Webサイトを表示する代わりに、以下の画面が表示し、ウイルス感染の危険があるようなサイトを開かないようにしています。

browsing_protection_danger


また、ブラウザ保護は直接危険なサイトにアクセスしたときだけではなく、googleやYahoo、MSNサーチ等の検索結果や、

browsing_protection_search


GmailやHotmailなどのWebメールからのリンクについて、評価結果をあらかじめ表示します。

browsing_protection_webmail

※画像は解像度があまり高くないので、クリックして見てください。

ブラウザ保護が対応しているWebブラウザは、以下の製品/バージョンです。
・Internet Explorer Ver6 以降
・Firefox Ver2 以降

検索結果に評価を表示できるサーチエンジンは、以下になります。
・Google
・Yahoo
・MSN

リンクに評価を表示できるWebメールは、以下になります。
・Gmail
・Hotmail

Webサイトの評価は、世界中のエフセキュアのオンラインサーバにデータベースとして保存され、クラウドとしてユーザに情報を提供します。
また、データベースはユーザからの報告も元にして更新されますので、評価が不明なWebサイトを見つけた場合は、「エフセキュアに通知する」のボタンから、評価をご報告頂けますと幸いです。


次回は、「脆弱性シールド」という新機能について紹介したいと思います。

This Is It!

  マイケル・ジャクソンの映画「This Is It」を見に行った人々の大部分は、私に見る価値があると勧めてくれるようだ。

  しかし我々は、マイケル・ジャクソンのオフィシャル・サイト(www.michaeljackson.com)が現在、訪問する価値があるかどうかについては余り確信が持てない。

MJ search results

  そう、我々のシステムでは、チャイルド・ページのいくつかに、悪意あるスクリプトにより障害が起きていることが示されている。

MJ site

  分析の時点では、この悪意あるサイトはユーザをマルウェアに(今のところ)導かなかった─しかし、誰かがクリーンアップし、脆弱なコードをフィックスするまでは、おそらくそのまま残るだろう。

  クリーンアップされれば、エフセキュアの「Browsing Protection」では、同サイトを再び「安全」に分類するだろう。

Browsing Protection, michaeljackson.com

サインオフ
フェイ

汚染された「.my」ドメインのWebサイト

  セキュリティに関して、用心深くあらねばならないのはユーザーのみではない。Weサイトをセキュアに保つということは、最高のウェブマスターにとってもチャレンジングなものだ。

  我々は最近、障害が起き、意図せずに悪意ある、あるいは危険なリンクのホスティングを行ってる「.my」ドメインのWebサイトを数多く見かけた。

  以下はこうしたサイトの一例だ:

.my domain hack search

  これらのサイトのかなりの数が、クラック・ファイルのホスティングを行っていた。

.my domain hack cracks

.my domain hack download

  その他のサイトで提供したのは、若干インパクトに欠けるものだ:

.my domain hack smart results

  これらのサイトの中には、検索エンジンのように見えるページを持つものもあった:

.my domain hack fake search

  しかし、リンクのいずれかをクリックしても、何ごとも起こらない。

  汚染されたサイトは複数サーバ上にあり、商用サイト、個人サイト、教育機関サイトなど様々だ。

  いつものように、関連する悪意あるリンクはランク付けされており、「エフセキュア インターネット セキュリティ 2010」のユーザーは、Browsing Protectionにより保護される。


  投稿はChu Kianによる。

アラスカ譲渡記念日とSEO攻撃

  ユーザーを偽アンチ・ウィルス・サイトへと導くSEO攻撃は、必ずしも新しいものではないが、より広まっているようだ。現在、不用心なユーザーを引っかけるのに使用される「エサ」は、世界的な出来事や有名な休日に関連するものばかりではない。

  10月18日は、北米がアラスカを獲得した、州の公式な休日であるアラスカ譲渡記念日で、多くの町が記念祭に参加する。これは米国でさえ有名な休日ではないが、ソーシャル・エンジニアリングのために悪用しようと考えた連中がいるようだ。

  「アラスカ譲渡記念日」の情報を検索すると、以下のようなWebサイトを見ることになるかもしれない:

Alaska SEO, Google

  うーん、「アラスカの爬虫類?」 何だか胡散臭い感じだ。このリンクをクリックすると、大抵のケースと同様、ユーザーは偽のアラートと偽スキャン画像を表示するWebページにリダイレクトされる:

Alaska SEO, popup

Alaska SEO, Popup

  リダイレクトの経路は以下の通り:

Alaska SEO, redirection path

  言うまでもないが、「エフセキュア インターネット セキュリティ 2010」のユーザーは、Browsing Protection機能により保護される。


  投稿はChu Kianによる。

偽Facebook、偽ビデオ、偽CAPTCHA

  Facebookで映像を視聴するのは一般的な行動だ。よって不用心なユーザーをマルウェアに感染させるのに使用される、偽の模倣サイトが数多くあっても驚くべきことではない。

  以下は、昔から良くある「Flash Playerアップグレード・インストール」トリックを使用し、若干のひねりを加えた悪意あるJavaScriptを持つ偽Facebookサイトの一つだ。

  例によってユーザーは、プレイヤーをアップグレードすれば、映像を見ることになるだろうと思っている:

Facebook vid malware
  しかし最初に、「アップグレード」をダウンロードし、インストールしなければならない:

Facebook vid malware

  通常と異なるのは、この「アップグレード」はCAPTCHAポップアップと共に始まるということだ:

Facebook vid malware

  このリクエストは不定期に表示され、実際には何もしない。ユーザーがフィールド内に何を入力しようと、以下のような表示が現れる:

Facebook vid malware

  このスクリーンは2、3回のトライ後に閉じられるが、時々現れ続ける。

  ユーザーがCAPTCHAテストと格闘している間に、マルウェアは「C:¥Windows」に2、3のファイルをコピーし、自身を削除し、いくつかのレジストリ・キーを作成する。

Facebook vid malware

  我々はこのマルウェアが「Trojan:W32/Agent.MDN」であることを確認した。

  エフセキュアの「Browsing Protection」は、あらゆる偽Facebookサイトをブロックする。とは言え、いつもと同様、ネットサーフィン中は慎重に。


  投稿はChoon Hongによる。

スティーブン・ゲイトリー死去のニュースが不正AVに誘導

  (アイルランドの男性ユニット「ボーイゾーン」の)スティーブン・ゲイトリーが2009年10月10日に亡くなった。

  彼の死のニュースを検索すると、以下のような結果が得られる:

Stephen Gately, rogue results

  who.isでWebサイトをチェックしてみて、我々はちょっとしたことに気がついた。作成日が2009年10月9日になっているのだ。うーん。

  いずれにせよ、このサイトはアクセスしたユーザーを、以下のような表示を出すサイトにリダイレクトする:
Stephen Gately, rogue results
  ユーザーが「OK」をクリックするか、「キャンセル」をクリックするかは問題ではない。同サイトはいずれにせよ以下の画像を表示する。これはコンピュータのスキャンを模している:

Stephen Gately, rogue results

  そして最終的に、何かをインストールするプロンプトが現れる:

Stephen Gately, rogue results

  またも不正なAVだ。このマルウェア・サイトは、「forexbids.cn」「norah-jones.cn」「watermelonfun.cn」「my-pc-scanner7.com」「anamericanbeauty.com」といった、既知の他のマルウェア・サイトとIPアドレスを共有している。

  これらのサイトの中には、既にダウンしているものもあるが、やはりアクセスしない方が賢明だろう。エフセキュアの「Browsing Protection」は、これらのサイトをブロックする。

—————

追記:同じWebサイトへと導く、関連のSEO攻撃は以下から始まる:

Stephen Gately, rogue results

Stephen Gately, rogue results

  この攻撃が取るリダイレクト・パスは以下の通り:

Stephen Gately, rogue results


投稿はChoon HongとChu Kianによる。

不正アンチウィルス・ソフトウェアに導くサモア地震のニュース

  SEOポイゾニングは、不正なアンチウィルス・ソフトウェアへとユーザーを導くための「トレンド」となっているようだ。これらSEOポイゾニング攻撃は通常、主要なニュースのトピックを悪用する。最新の事例は、9月29日にサモア諸島沖で発生し、ハワイや多くの南太平洋の島々への津波警報を誘発した地震だ。

  このニュースに関する記事を探している読者は、Googleの検索結果から、以下のページに遭遇するかもしれない:

Samoa earthquake, Google

  このリンクをクリックすると、ユーザーは302リダイレクトにより一連のサイトにリダイレクトされる:
Samoa earthquake redirect
  最終的なランディングページは、ユーザーに彼らの「システムが感染している」と警告する:

Samoa earthquake, Rogue AV

  Windows Security Centerの警告は本物のように見えるが、実際は偽物だ。ユーザーは不正なアンチウィルス・ソフトウェアをダウンロードするよう促される。

  通常通り、ブラウジングの際は慎重に。これらのウェブサイトは、エフセキュアの「Browsing Protection」によりブロックされる。

—————

追記:Twitterでのつぶやきも、津波のニュースを探している人々を不正なアンチウィルス・ソフトウェアへと導くのに使用されるようだ。「津波」という言葉でTwitterを検索すると、以下のつぶやきに到達する:

Samoa earthquake, Twitter

  これは以下のメッセージへと導く:

Samoa earthquake, Twitter

  無料のシステムスキャンとは、なんと素晴らしい。次いで「あなたのコンピュータは感染しています」という警告が現れる:

Samoa earthquake, Twitter

  この「フォルダ」全体は単なる画像にすぎないことに注意して欲しい。次いでユーザーは、架空の感染を解決するために不正のアンチウィルス・ソフトをダウンロードするよう促すメッセージを受け取ることになる。


投稿はChu KianとChoon Hongによる。

WoWのトライアル・マウントにご用心

  皆さんが「World of Warcraft(WoW)」をプレイしており、心から騎乗動物(マウント)を望んでいるとしよう。そして誰かが現れ、Blizzardが新しいトライアル・マウントを提供している新しいWebサイトの話をしたとする:

WoW phishing

  そして皆さんがそのサイトを訪問すると、以下のようなページを見ることになる:

Phishing site

  そう、これもフィッシングサイトだ。正にworldofwarcraft.comのログインページのように見える。騎乗動物をゲットしようと、同ページに詳細を入力するプレイヤーは基本的に、自分のアカウントを乗っ取られる。保存したゴールドやアイテムをすべて失う以外にも、障害が起きたアカウントは、悪意あるメッセージを他の犠牲者に送信するためにも使用されるという、踏んだり蹴ったりの事態となる。

  このサイトに関して興味深いのは、そのIPアドレスのリバースIPチェックにより、1ダース以上の別のWoWフィッシングサイトが見つかるという点だ。

  いつものように、ゲーム中は慎重に。なお、これらのフィッシングサイトはエフセキュアの「Browsing Protection」によりブロックされる。

スウェイジをエサにしたさらなるトラップ

  最初はスパムだったが、今やビデオとなった。映画俳優パトリック・スウェイジの葬儀の映像を探している人たちは、Googleの検索結果一覧で、以下のウェブサイトを見つけるかもしれない:

Swayze video

  皆さんは、このサイトにアクセスした人たちが、ビデオ・ストリーミングを開始するために「ビデオ」上をクリックする必要があると考えるかもしれない。実際のところこれは画像であり、クリックするとユーザーはこの映像が見られる他のサイトへと導かれる:

Swayze video 2

  そして「この」ビデオをクリックすると、犠牲者は意図せぬままに偽のAVをダウンロードすることになる。

  ちなみに、最初のWebサイトの下にあるビデオは、実際のYouTubeビデオであり、これは葬儀にまったく関係のないもので、マルウェアにリンクされてもいない。

  この攻撃で使用される悪意ある関連サイトは、エフセキュアの「Browsing Protection」により、既にブロックされている。


投稿はChu Kianによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード