エフセキュアブログ

Browsing Protection by F-Secure を含む記事

Browlockがロシア人風になる

 事態は驚くべき展開を迎えた。いまやBrowlockはロシア人を標的としているようだ。

 何らかの理由で、Browlockのリンクが加えられた感染サイトを訪れた不運なやつがいたとしよう。



 その感染したページで5秒経つと、以下の「ブラウザロック画面」が表示されるだろう。



 このページはどうやら非常に上手なロシア語で書かれており、ざっと翻訳すると次のようになる。

 ロシア連邦内務省(警察当局)

 [当局は]、このコンピュータが、暴力、同性愛ポルノ、小児性愛に関する題材を調べるといった違法な悪事に使用されていることを検出しました。

 こうした行為は[引用された法律]に基づき、禁止されています。この行為に対し800〜4000ルーブルの罰金が課されます。支払う意思がなければ、[引用された法律]に基づき収監されることになります。

 すでに行為はなされているため、1000ルーブルを直ちに支払う必要があります。任意のモバイル・ターミナル(これのサンプルを下に掲載)により、この罰金を支払うことができます。あるいはこの罰金の合計金額を+79054014516番という電話番号に連絡してください。支払いは12時間以内に実施しなくてはなりません。

 支払い完了後、ロック解除コードが記載された入金確認書が送られます。そのコードを下のフィールドに入力しなければなりません。支払いを行いたくない場合、刑事訴訟に取り掛かるために、不法行為に関する資料をすべて検察当局に送信します。また警官隊を居住場所に派遣します。


 上述のモバイル・ターミナルのサンプルの画像を以下に挙げる。



 ユーザがブラウザやタブを閉じようとすると、次のようになる。



 この「ブラウザロック画面」はブラウザが使用不可能であるように表示されるが、単にダイアログボックスを引き延ばしただけで、Enterキーを押すだけでブラウザが閉じる。コンピュータにもたらされる害はない。

 これまでのところChromeのみで動作するが、ロシアを含め異なる国々からアクセスがあると適切なページが読み込まれる。

 Browlockのページは現在Browsing Protectionによってブロックされる。



—————

Post by — Christine、Patricia、Dmitriy

フランカ市のWebサイトが侵害

 当社製品が検知した悪意あるリダイレクタのURLを分析しているとき、.gov.brドメイン上にホストされたFlashオブジェクトが目に留まった。私のポルトガル語の腕はちょっと鈍ってしまったので、ブラジルの当社オフィスにいる同僚に頼ったのだが、彼女は当該ドメインがブラジル サンパウロ州フランカ市に属するものであることを確認した。

 このWebサイト上のJavaScriptファイルの1つに、Flashリダイレクタを読み込む悪意あるコードが書き加えられていた。以下はFiddlerによるセッションの一部だ。

Screenshot of Fiddler session

 黄色で強調したのがリクエストで、悪意あるFlashオブジェクトを読み込み、別のドメインへブラウザをリダイレクトするiflameを挿入する(画面キャプチャのぼかした部分)。

 オープンソースのコンテンツマネジメントシステムJoomlaの、古くなったバージョン1.5の弱点を突かれてWebサイトが侵害されたように見受けられる。これはおそらく、パッチが当てられていないバージョンを稼働している.gov.brのWebサイトに限った話ではない。シニアセキュリティリサーチャーFabio Assolini氏は、Twitterで.gov.brドメイン上のインシデントは非常によくあると指摘している。

 当社は今回のインシデントについて、CSIRT、CTIR Govに連絡を取った。

 当社はこの悪意あるFlashオブジェクト(SHA1:b0c68dbd6f173abf6c141b45dc8c01d42f492a20)をTrojan:SWF/Redirector.EQとして検知する。加えて、このWebサイトが正常になるまで、当社のBrowsing Protectionコンポーネントは侵害されたURLへのアクセスをブロックする。

Post by — @Timo

探していたモバイルアンチウイルスではない

 当社のあるアナリストがAndroid端末でMalaysiakini(マレーシアで人気のWebサイト)を閲覧しているとき、以下の広告に気づいた。

mkini_scam_ad

 この広告をクリックすると、外部サイトに飛び、以下が表示される。

mkini_scam_ad_download_screen

 Windowsシステム用の(時にはMacの)ローグウェアのWebページで、長年のあいだ目にしてきたテキストと同じ類のものを連想させる。

 「Download and Scan Now」ボタンをクリックすると、アンチウイルスアプリケーションのように見える画像が現れる。

mkini_scam_ad_download_screen_2

 さらにその画像をクリックすると、電話番号を要求し、興味深い文を掲載したページへと飛ばされる。

mkini_scam_ad_number_submission

 「This is an ongoing subscription service until you quit. You will receive 4 sms per week and chargeable at RM4 per message. Only [REMOVED] user will receives max 3 sms per week and chargeable at RM4 per message. Data charges are billed separately by mobile operators.(これは退会するまで利用継続するサービスです。1週間ごとに4通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。○○ユーザのみ毎週最大3通のSMSが届き、1つのメッセージにつき4マレーシアリンギットの課金がなされます。データ通信費は別途、携帯電話会社から請求されます。)」

 つまり、これはSMS購読サービスだ。電話番号を提供すると、ユーザはサービスへ登録するための説明が書かれたSMSメッセージを受け取る。

 一度登録すると、別のSMSが送付され、ダウンロード用のリンクが提示される。リンクをクリックしてみたところ、「Sorry, you have exceeded the allowed download limit.(申し訳ございませんが、ダウンロードの制限を超えています。)」というメッセージがあるだけだった。当該サイトのトップページは「under construction.」になっている。

 幸運なことに、登録方法が記載されたSMSには、サービスの停止方法の説明も含まれていた。

 我々は通常、モバイルアプリケーションのダウンロードを行う際に、要求されるパーミッションを読むようにユーザに勧めている。今回のケースでは、ダウンロードする前に説明文を読むことも、賢明だ。広告をクリックしたところで、これはおそらくユーザが探しているサービスではない。

 現在のところ当社のBrowsing Protection機能では、APKのダウンロードが想定されるサイトはSuspicious(疑わしい)と判定している。

追記

 Windowsベースのローグウェアと同様、この「Androidアンチウイルス」詐欺は他のOSも認識している。ただし、餌を微調整するのに失敗している。

iOS:

mkini_scam_iPod

Windows Phone:

mkini_scam_lumia620

WordPressページがロード中…エクスプロイトを

  WordPress.orgが再び、標的にされており、今回は大して洗練されていないものの、感染は現在も、インターネットユーザーが慎重を期する足りるほど広まっている。

  スパムはキャンペーンのドライバのようだ。すでにさまざまなWebサイトが、Blackholeエクスプロイト・キットにリダイレクトしていることが分かっている。障害の起きたWebサイトは訪問すると、以下のページのいずれかを表示する:

tuit html

quick html

opek html

irta html

company html

aic html

  シンプルで無防備… しかし実際、美しく作成されたWebサイトが普通である時代に、これら偽サイトは本物と考えるにはあまりに質素だ…

  そして実際、これらは本物ではない…

Browsing Protection Result

  現在、これらのサイトはBlackholeエクスプロイト・キットをホスティングする、以下のドメインにリダイレクトされる:

  •  georgekinsman.net
  •  icemed.net
  •  mynourigen.net
  •  synergyledlighting.net
  •  themeparkoupons.net

  皆さん、何をクリックしているのかに用心して欲しい。安全なブラウジングを!

Threat Insight post by — Karmina

フィンランドの複数の銀行でマンインザミドル攻撃

  現在、「Nordea」および「Osuuspankki」という、少なくとも2つのフィンランドの銀行に対し、複数のマンインザミドル攻撃が進行中だ。

  両行はワンタイムパスワードおよびベリフィケーションコードを使用しており、普通のフィッシングは攻撃者達に、アカウント番号以外、ほとんど価値を与えない。しかしこのケースでは、攻撃は銀行取引を完了しようとするサーバサイドのマンインザミドル攻撃に結びついている。

  以下は偽のNordeaサイトの例だ:

Nordea, man-in-the-middle

  同ネットバンクの顧客が自分のアカウントIDとワンタイムパスワードを入力すると、2分間待つように言われる:

Nordea, man-in-the-middle

  これは攻撃サーバに転送の設定を行う時間を与え、次に顧客はいくつかの確認コードのうちの一つを要求される:

Nordea, man-in-the-middle

  そして次に、顧客は時間をさいたことに感謝される:

Nordea, man-in-the-middle

  このプロセスは以下のような電子メールで誘導される:

Tama on vuosittainen ilmoitus koskien Osuuspankki tiliasi. Sinun tilisi pitaa vahvistaa. Ole hyva ja klikkaa alapuolella olevaa linkkia ja seuraa ohjeita: Ystavallisesti, Osuuspankki
Screenshot by Henry Hagnas

  この電子メールはOsuuspankkiの顧客を標的としており、年に一度の見直しの一環として、アカウントの確認をするように依頼している。

  同攻撃のフィッシング部分は、Nordeaの例と同様で、最初にIDとパスコードが要求される:

Ossuspankki, man-in-the-middle

  次に2分間待つようリクエストされる:

Ossuspankki, man-in-the-middle

  それから確認コードが要求される:

Ossuspankki, man-in-the-middle

  Nordeaは、下手なフィンランド語で書かれた電子メールに注意するよう、顧客に警告を出している。

  残念なことに、エサのメールはかなり短く(そして誰もが注意深く読むわけではない)、顧客がリンクをクリックすると、そこにあるフィンランド語は皆、バンク自身のサイトからコピーされたものとなる。電子メールからのリンクは絶対にクリックせず、ブラウザのブックマークから銀行にアクセスすること、というのがより良いアドバイスだろう。

  エフセキュアのBrowsing Protectionツールバーは、現在使用されている既知のURLを全てブロックするが、登録名義人は少なくとも他に90のドメインを持っているため、新たな亜種がすぐにオンラインに登場する可能性はある。

F-Secure Browsing Protection

  フランスでホスティングされているマンインザミドルサーバが、すぐにシャットダウンされると良いのだが。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード