エフセキュアブログ

ポップアップ を含む記事

iOSクラッシュレポート:ポップアップブロックが必ず役立つわけではない

 木曜日、テレグラフ紙はiOSユーザを標的にした詐欺に関する記事を掲載した。以下はその要点だ。詐欺師たちはJavaScriptによるダイアログを用い、いわゆる「iOSクラッシュレポート」という警告を表示して技術サポートへ電話をするように促す。このテレグラフ紙の記事の終わり近くに、次のような助言が示されている。

 「To prevent the issue happening again, go to Settings -> Safari -> Block Pop-ups.(この問題の再発を防ぐには、「設定>Safari>ポップアップブロック」に進む。)」

 残念ながら、この助言は正しくない。さらにおそらくもっと残念なことは、この不適切な助言を数々のWebサイトで繰り返しているセキュリティや技術の評論家たちが、今もなお存在することだ。どうしてこの助言が間違いだと分かるのだろうか?なぜなら当社では実際にこれをテストしたのだ…。

 まず始めに、この「iOSクラッシュレポート」詐欺は技術サポート詐欺のバリエーションの1つであり、早くも2008年には事例が確認されている。かつてはインド国内のコールセンターから、直接的に売り込む電話がかかってきた。しかしここ最近では、Webベースで誘惑をして、潜在的な被害者が詐欺師に連絡をするように仕向けている。

 Googleで次のテキストを検索すると、いくつかの活動中の詐欺サイトが得られる。

 「"Due to a third party application in your phone, IOS is crashed."(このスマホ内のサードパーティーのアプリケーションによって、iOSがクラッシュしました)」

 以下はこうしたサイトの1つで、iPad上のiOS Safariで表示している。

iosclean.com

 Safariの「詐欺Webサイトの警告」や「ポップアップブロック」といった機能では、このページが読み込まれるのを防げなかった。

 上図でポップアップのように見えるものは、実際にはJavaScriptで生成したダイアログである。自分自身で再生成し続け、消すことが非常に難しくなることがある。SafariのJavaScriptをオフにすることが、一番手っ取り早く制御を取り戻す方法だ。残念ながら、JavaScriptを無効にしたままでは、数多くの正規のWebサイトで多大な影響があるだろう。

 以下はGoogle Chrome for Windowsで同じサイトを参照したものだ。

Prevent this page from creating additional dialogs

 この場合、「prevent this page from creating additional dialogs(このページでこれ以上ダイアログボックスを生成しない)」という文字が追加されていることに注意してほしい。(少なくともWindows用の)ChromeとFirefoxの現行バージョンでは、再生成をするダイアログにこのオプションを追加しており、ユーザがループを断ち切ることができるようになっている。悲しむべきことに、Internet ExplorerとSafariではこのようになっていない。(当社ではIE for Windows / Windows PhoneとiOS Safariでテストをした)。

 すべてのブラウザがこの回避機能をサポートしたら、すばらしことではないだろうか。

 もちろん、我々もそう思う。

 しかし事はブラウザだけではない。ブラウザを用いているアプリの機能も影響を受けることがある。

 以下はCydia経由で表示したJavaScriptのダイアログの例だ。

error1014.com

 テレグラフ紙の記事の最後には、ロンドン市警からの以下の助言も掲載されていた。

 「iCloudのユーザ名やパスワード、銀行の口座情報などを電話越しに他人に渡してはならない。」

 まったくだ!誰かにiCloudのパスワードを渡したら、サポート詐欺はただちにデータの乗っ取りや強奪のスキームに転じるだろう。当社では、複数の詐欺師の電話番号に電話をして、我々のiCloudの機密情報を尋ねるかを確認しようとしたのだが、かけてみた電話番号は現在使われていないことが分かっただけだった。

 願わくば、そのままでありますように。(そうならないだろうけど。)

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


Facebookがプライバシー制御を廃止。びっくり?

 3月27日、FacebookのプライバシーおよびセキュリティのエンジニアJoey Tyson氏が、次のように問いかけた。

status/317006898274635776

 In general, I think many people tend to trust Google more than Facebook. Any thoughts from my followers on why that might be?(訳注:一般に、多くの人々はFacebookよりもGoogleを信頼する傾向があると思う。そうなる理由について、私のフォロワーから考えを募りたい)

 Social Hackingとしても知られるTyson氏はプライバシーを推進している。Facebookで働き始めるずっと以前からだ。

twitter.com/theharmonyguy

 同氏は重要な疑問を投げかけている。なぜ人々はFacebookよりもGoogleを信頼するのか?

 ええと、以下はその理由の一例。

 最近、私はGraph Searchのテストを行った。そのときFacebookの設定の「Clear Searches」オプションで自分の検索履歴を削除することを指摘した。つまり少なくともこういうことが可能だった。

Facebook Settings, Clear Searches

 先週後半には…、パッと消えた!このオプションがFacebookの設定から無くなったのだ。

Facebook Settings, No Clear Searches

 消え去ってしまった。こんなふうに。初めから存在しなかったかのように。

 そして週末にかけて(一時的に)何が登場したのか?

 Giftsだ。

Facebook Gifts

 Facebookの設定に「Gifts」が戻ってきたことに気づいて以来、こうしたものがポップアップすることを予期していた。

Facebook Settings, Gifts

 もしFacebookのことをよく分かっていなかったら、なぜだと思っただろう。私はうすうす疑念を感じていたのだ。FacebookのGraph Searchは私が興味を持っているものを見つけやすくするためではなく、むしろ私をプロファイルするのに使えるやり取りを発生させるために設計されたのではないか、と。すると、私へギフトを贈るよう私の友達や家族を促すために、この消費者分析が使われ得るのだろうか?

 冗談抜きに、これでなんでFacebookを誰かが「信頼」するはずと?

 私は自分の検索や他のデータが、物を勧めるために使用されることに同意していない(それはAmazonの仕事だ)。

 AmazonもGoogleも検索履歴を一時的に停止したり、消去するオプションを提供している。

 Facebookはまさしく期待どおりだ。

 他にどんな過失があるにせよ、Googleは少なくともダッシュボードのコンポーネントをちょっと追加したり削除したりしているようには見えないし、新しいサービスを公開する際に思い付いたように登場させたり削除したりはしない。

 Facebookのプライバシー制御は、今日ここにあったものが、明日には無くなっている。— 決して信頼を構築することはできない。

では。
ショーン

更新:「Move Fast and Break Things(迅速な行動が物事を動かす)」をモットーにするFacebookは、このたびの消失をバグのせいにしている。

ゆうちょ銀行の利用者を狙い、不正にポップアップを表示させるマルウェア

不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪に使われたと見られるマルウェアを入手することができました。感染後に、ゆうちょダイレクトにログインすると、不正なポップアップ画面が表示されることも確認しており、少なくとも、この事件に使用されたマルウェアの一種であることは間違いないでしょう。

セキュアブレインが無料で提供しているウイルス対策製品「gredアンチウイルスアクセラレータFree」では、"Spyware-tpd"として検出されることを確認しています。

ゆうちょダイレクトをご利用中の方で、お使いのアンチウイルス製品が未対応でしたら、本製品のご使用をご検討ください。
gredアンチウイルスアクセラレータFreeは他社製品と同時に利用することも可能です。詳しくは製品説明をご覧ください。
  • gredアンチウイルスアクセラレータの製品説明とダウンロードはこちらから
  • gredアンチウイルスアクセラレータFreeが同梱されたフィッシング対策製品PhishWallクライアントの製品説明とダウンロードはこちらから

オンラインバンキングの取引にご注意を!!

メディア、金融機関より報じられるているように、ここ一週間の間にオンラインバンキングの利用者をねらった攻撃が表面化してきており、実際被害にあわれた方もいらっしゃるようです。

この状況に対し、本日、金融庁より全銀行へオンラインバンキングの不正被害の調査を行うよう指示されています

既に各銀行より注意喚起されていますが、当社としても、オンラインバンキングをご利用の皆様には同様の被害にあわない様に、セキュリティ対策を注意喚起させていただきます。

この攻撃ではオンラインバンキングユーザがログインする際に、偽の画面を表示させパスワード等を不正に入力させる画面が表示され、誤って入力してしまうとそのユーザの情報が搾取されるというものです。

主に、キーロガー、フィッシング、ファーミング、スクリーン/ビデオキャプチャー、Man-in-the-Brower等オンラインでのバンキング取引において、個人情報を搾取する方法としては、いくつかありますが、今回においてはMan-in-the-Brower手法の可能性があるようです。

また、今回のようなオンラインバンキングユーザへの攻撃による個人情報搾取の被害は、以前より当社でも報告を受けており、様々な手法を駆使して、日本だけでなく、全世界レベルで拡大しています。
参考記事を下記に3つほど。
トレンド:フィッシングから「マンインザミドル」フィッシングへ
そのURLは本物?
フィンランドの複数の銀行でマンインザミドル攻撃

今回の攻撃に対する対策方法としては、ユーザのセキュリティ意識を高めて頂く必要があります。
具体的には、まずはユーザがインターネット経由でのやり取りにおいては、情報が搾取される可能性があることを意識して頂くともに、個人情報(口座番号、ID、パスワード等)をポップアップ画面やメールを介して、再度問い合わせることはないということを理解して頂くことが重要です。
そしてさらに、セキュリティ対策ソフトウェアを導入し、常にOSやアプリケーションも含め、最新の状態にしていただくよう心がけて頂く必要があります。

当社、F-Secureでもセキュリティ対策製品に最新の独自技術を搭載し、常に変化し、複合化するセキュリティ脅威への対策を提供いたします。
また、オンラインバンキング対策専用セキュリティツールの開発も進めており、もう間もなくリリースを予定しております。
(リリースされました情報を改めてアップさせていただきます。)
そのようなセキュリティ対策製品やセキュリティツールをご提供させて頂く事で、皆様の安全で、快適なオンラインライフをサポートしていきます。

Trojan:BASH/QHost.WB

  我々はMac用の偽FlashPlayer.pkgインストーラに遭遇した:



  インストールされると、このトロイの木馬はさまざまなGoogleサイト(例えばGoogle.com.tw、Google.com.tlなど)を訪問したユーザを、オランダにあるIPアドレス「91.224.160.26」にハイジャックするため、ホストファイルにエントリを加える。

  同IPアドレスのサーバは、正当なGoogleサイトに似て見えるようデザインされた偽Webページを表示する。

  例えば、通常の感染していないシステム上で、Google.com.twは以下のように見える:

trojan_bash_qhost_wb_google_tw_clean (68k image)

  これに対して、感染したシステム上で、Google.com.twは以下のように見える:

trojan_bash_qhost_wb_google_tw_infected_system (72k image)

  検索リクエストが入力されると、リモートサーバは正当なGoogle検索結果のページをまねた偽ページを返す。

  以下は、クリーンなシステム上で、本物のGoogle.com.twサイトを検索した場合だ:

trojan_bash_qhost_wb_google_tw_clean_searches (169k image)

  そして以下は、同じ検索を感染したシステムで行った場合:

trojan_bash_qhost_wb_google_tw_infected_system_searches (250k image)

  このページはかなり本物に近いとは言え、リンクのいずれかをクリックしてもユーザは他のサイトには誘導されない。リンクをクリックすると、新たなポップアップページが開くが、これはすべて、別のリモートサーバからのものだ:

trojan_bash_qhost_wb_google_tw_infected_system_search_source (173k image)

  何らかの広告だろうと予想していたが、執筆時点では、これらのポップアップページは何も表示していない。ポップアップページを提供しているリモートサーバがダウンしているようだ。

  偽の検索結果を返す他のリモートサーバは、現在もアクティブのようだ。

  我々はこのトロイの木馬を「Trojan:BASH/QHost.WB」として検出している。



-----

分析はBrodによる。





Krebs/Danchevトロイの木馬がアダルトサイトをプッシュ

  徹底したマルウェア分析は、現実の状況により、制限されることが多々ある。

  我々が分析するトロイの木馬の多くは、さらなるインストラクションのため、リモートサーバに接続しようとする。我々はここまでで、そのソフトウェアが合法的なものではなく、カスタマのコンピュータでインストールされないよう、ブロックすべきだと分かる。それ以上、そのソフトウェアを調べる必要な無い(それにしばしば、サーバはオフラインだ)。しかし、そのトロイの木馬が、リモートマスタにアクセスするだけである場合、それは何をするのだろうか?

  我々は孤立したネットワークでマルウェアをテストするため、オートメーションを使用している。通常、実際のインターネット接続でマルウェアのテストをすることは無い。世界のネット市民へのエクスポージャーを制限したいからだ。しかし時折、我々の興味をひくケースがあり、手動のテストを行うことがある。

  たとえば先週の木曜日に記事にした、以下のミューテックスを作成するトロイの木馬などだ:

DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED

  我々が最初、このトロイの木馬に遭遇した際、そのサーバ「fatgirlsloveme.com」はオフラインで、2日後に始動した。

  そこで我々はWindows 7テストコンピュータを設定して「Trojan-Downloader:W32/Agent.DTBM」に感染させ、インターネットに接続し、「Internet Explorer」を開いた。

  Bingで検索すると、ポップアップウィンドウが開き、以下のWebサイトをプロモートした:

www.russiansexbrides.com

  ロシアのセックスブライド?

  アダルトサイトのポップアップ?

  もう少し興味深いものを期待していたのに。あーあ…

  同サイトはマーケティング活動の一部として、アフィリエイトを使用しているようには見うけられない。このトロイの木馬の作者が、サイトオーナーであるThunder Road社とどのような関係があるのかは不明だ。

www.russiansexbrides.com Whois

  同トロイの木馬はまだ広まっていないが、エフセキュアカスタマの統計では、それが現在インザワイルドでアクティブであることが分かっている。

Mac OS Xマルウェアが本格化

  1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。

  その後2007年10月、我々は常ならざるものを目撃した。「DNS Changer Trojan for OS X」だ。

  新たなMacマルウェアの危険レベルを算定し、その結果、我々は「F-Secure Anti-Virus for Mac」の開発に着手した。

  時折、新たなMacマルウェアを見かけるものの、多くの専門家はMac OS Xシステムでのマルウェアの危険を軽視してきた。しかし実際のところ、我々はますます多くの活動を目にしている。

  先週は、Mac Rogue Trojanによる感染が急激に増加するのを目撃した。これらは汚染されたGoogle Image Searchリンクを介してばらまかれたトロイの木馬だ。

  こうしたトロイの木馬は、ユーザを騙し、自分のMacが、実際はクリーンなのだが、感染していると思わせる。問題があると信じさせれば、そのユーザは「MacDefender」「MacSecurity」「MacProtector」「MacGuard」という偽のセキュリティ製品をダウンロードし、購入することになる。

  このトリックは実際、かなり説得力がある。ユーザはWebページのようにはまったく見えないWebページにリダイレクトされる。それはMacのFinderのように見えるのだ:

Mac OS X fake
  不格好だが、これはFinderっぽく見えるようにデザインされたWebページだ。

  以下にGoogle Imageサーチが、どのようにユーザをおどかそうとするページに導くかを示す、短い動画がある。



  ユーザは依然として、提供されている偽のセキュリティ製品をインストールしなければならない。同マルウェアの最新バージョンは、ルートパスワードのプロンプトを出すことなく、このトロイの木馬をインストールできる独立したダウンローダを使用している:

Mac Guard installer

Mac Guard installer

  以下は、この不正なアプリケーションがインストールされる際の様子だ:

Mac Security

  ユーザが不正な製品をインストールすると、このアプリケーションは更に、何かに感染しているとユーザに信じさせようとする。これはランダムに開くポルノサイトにより行われる。

Mac Porn

  頑固なユーザでも、自分のシステム上でランダムなポルノサイトが2、3分ごとに次々とポップアップすれば、問題が生じたと思うだろう。

  これらが偽のセキュリティ製品であると気づくことが重要だ。これらはどんな形であれ、システムを保護しはしない。単に理由もなく、ユーザをだまして購入させようとするだけだ。

  これはよくある詐欺であり、実際の感染に関する多くの報告がある。

  Macユーザはどのようにして身を守ればよいのだろう?

  これまで、エフセキュアのMac製品は、我々のオペレータパートナーを通じてのみ利用可能だった。

  しかし本日、我々は「F-Secure Anti-Virus for Mac」のコンシューマバージョンをリリースした。

F-Secure Anti-Virus for Mac

  一定の期間、無料で試用することができる! ライセンスキー「AVMAGL」を使用して欲しい。製品の詳細はここにある。

  「エフセキュア アンチウイルス」は、Mac Trojanを「Rogue:OSX/FakeMacDef」および「Trojan-Downloader: OSX/FakeMacDef」の亜種としてブロックする。

改変されたFacebookビデオスパム

先週、オサマ・ビンラディンの死に関連するFacebookのビデオスパムが発生した。以前のスパムは、基本的に以下のバリエーションだった:

fbspam (75k image)

  興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる:

fakesecuritycheck (36k image)

  ユーザは基本的に、スクリプトのコピー・ペーストを実行する:

fbspamcode (67k image)

  そのコードはユーザの最も親しい友人たちに(スパムと共に)メッセージを送る。

  それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。

  受け取ったスパムは以下のようなものだ:

friendspam (36k image)

  次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。(注意:そうすることは推奨しない。)

  次に、ブラウザの下に以下の表示が現れた:

fbspamcode_latest (5k image)

  このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。

  次に、ポップアップボックスが現れた:

verificationfailnotice (36k image)

  さらに、以下のページにリダイレクトされる:

redirect (66k image)

  作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。

傍注 - 「iPhoneから」のポスト? まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる:

fbspamcode2 (45k image)

  例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。


----

Threat Insight post by Shantini and Rauf


偽Facebook、偽ビデオ、偽CAPTCHA

  Facebookで映像を視聴するのは一般的な行動だ。よって不用心なユーザーをマルウェアに感染させるのに使用される、偽の模倣サイトが数多くあっても驚くべきことではない。

  以下は、昔から良くある「Flash Playerアップグレード・インストール」トリックを使用し、若干のひねりを加えた悪意あるJavaScriptを持つ偽Facebookサイトの一つだ。

  例によってユーザーは、プレイヤーをアップグレードすれば、映像を見ることになるだろうと思っている:

Facebook vid malware
  しかし最初に、「アップグレード」をダウンロードし、インストールしなければならない:

Facebook vid malware

  通常と異なるのは、この「アップグレード」はCAPTCHAポップアップと共に始まるということだ:

Facebook vid malware

  このリクエストは不定期に表示され、実際には何もしない。ユーザーがフィールド内に何を入力しようと、以下のような表示が現れる:

Facebook vid malware

  このスクリーンは2、3回のトライ後に閉じられるが、時々現れ続ける。

  ユーザーがCAPTCHAテストと格闘している間に、マルウェアは「C:¥Windows」に2、3のファイルをコピーし、自身を削除し、いくつかのレジストリ・キーを作成する。

Facebook vid malware

  我々はこのマルウェアが「Trojan:W32/Agent.MDN」であることを確認した。

  エフセキュアの「Browsing Protection」は、あらゆる偽Facebookサイトをブロックする。とは言え、いつもと同様、ネットサーフィン中は慎重に。


  投稿はChoon Hongによる。

ノスタルジックなトロイの木馬

  ユーザーのコンピュータを占有する際、マルウェアが妙な、人を食ったような、あるいは面白いメッセージをポップアップしていた遠い昔を覚えているだろうか? 近頃「Trojan:W32/LongLeeb.A」でそんなことが思い出された。

  このトロイの木馬はウィンドウを立ち上げ、以下のメッセージボックスを表示する:

Trojan:W32/LongLeeb, Salutation

  このメッセージはタガログ語で、「Gloria、FG、Chavit、Jok Jok、Gonzales、Jose Pidal万歳!」と書かれている。ここにあげられている名前はすべて、実在のフィリピン人のものだ。

  さらに、デスクトップ上には、以下のメッセージが表示される:

Trojan:W32/LongLeeb, Manny

  これは基本的に次のような意味だ:「あらためて、フィリピン万歳! Manny Pacquiaoにも万歳!」

  このトロイの木馬自身は、非常にステレオタイプなものだが、このメッセージは90年代初頭のウィルスを思い起こさせるようなもので、なんとなく我々をノスタルジックな気分にさせる…。


投稿はIreneによる。

いまさらですがiPhoneの詐欺サイト警告機能について〜ワンクリック詐欺サイト編

前回の記事でワンクリック詐欺サイトについて触れるのを忘れていました。iPhoneのSafariの設定画面に「詐欺Webサイトを訪問したときに警告します」と書かれているので、無駄だとは思いましたが、いくつかワンクリック詐欺サイトを訪問してみました。予想通り、ワンクリック詐欺サイトで警告が表示されることはありませんでした。

ちなみにiPhoneでワンクリック詐欺サイトにアクセスすると次のような感じになります。

oneclick1まず年齢認証などの確認画面が表示されます。最近のワンクリック詐欺サイトは1回のクリックで契約が完了、利用料金請求というサイトは皆無に等しいです。















oneclick2パスコードと年齢を入力してログインすると、アクセスしたPCのIPアドレスやプロバイダ名などを記した契約に関するメッセージをポップアップ表示します。個人が特定されているから利用料の支払いは避けられないと利用者に思い込ませるワンクリック詐欺の常とう手段です。













oneclick3ポップアップメッセージを閉じると会員登録完了のページが表示されます。振込先や支払い期限、不払いの場合の注意事項などが記されています。 

見る目を養う

先日のエフセキュア セキュリティ研究所による投稿にもありましたが、マイケル ジャクソンやファラ フォーセット、直近ではパトリック スウェイジなどのセレブリティの死を悪用したスパムが横行しています。続きを読む
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード