1月11日の記事でもお伝えしている通り、2019年に入ってから日本向けにランサムウェアをばらまくマルウェアスパムの攻撃が発生、継続しています。当初は件名と本文は「:-)」などの「顔文字」のみとなっていましたが、件名はほどなく「I Love You」、「My love letter for you」などの英文に変化しました。そのため一般には「Love Youランサムスパム」などとも呼ばれているようです。その後1月末ごろからは「Kyary Pamyu Pamyu ;)」、「Sheena Ringo ;)」などのように日本の女性芸能人の名前を入れた件名も確認されており、日本を攻撃対象に定めて様々な手口を試しているように思えます。ただしいずれの件名にせよ、添付ファイルを開くと最終的にランサムウェア、不正コインマイナー、そしてスパムメール送信に使用されるスパムボットに複合感染する危険なものとなっています。トレンドマイクロではこの危険なマルウェアスパムの調査を進め、その送信を司っているスパムボット「Phorpiex(フォルピエックス)」の存在を確認しました。そして更なる調査の結果「Phorpiex」は、一般的にスパムメール送信を主な活動とするスパムボットの枠を外れ、それ自体が遠隔からランサムウェアなどのマルウェアを感染させる凶悪な攻撃などを行う危険なものであることがわかりました。
続きを読む1月30日の本ブログ記事でも取り上げた「偽警告」ですが、その後も継続が確認されています。このように何度も繰り返されている常套手段的な攻撃は、継続の過程で様々な変化を伴うことがあります。その変化の一つとして、今回は正規セキュリティソフトを偽装する手法、特に弊社トレンドマイクロ製品の検出を偽装するものも確認されました。トレンドマイクロ製品では利用者の操作無くWeb上で自動的にウイルス検索を行うような機能はありませんのでご注意ください。
図:トレンドマイクロ製品を詐称する偽警告の表示例
トレンドマイクロは、通常のアプリに偽装してユーザの情報を窃取するAndroid端末向け不正アプリ「MobSTSPY」(「ANDROIDOS_MOBSTSPY」ファミリとして検出)をGoogle Playで確認しました。MobSTSPYは、端末の情報を窃取するだけでなく、FacebookやGoogleのログイン画面に偽装したフィッシングページをを利用してユーザの認証情報を窃取します。
MobSTSPYファミリとして確認された6つの不正アプリ、「Flappy Birr Dog」「FlashLight」、「HZPermis Pro Arabe」、「Win7imulator」、「Win7Launcher」、「Flappy Bird」のうち、5つは2018年2月以降Google Playで停止されており、本記事執筆時点(2019年1月3日)ではすべてが削除されています。「Win7imulator」は世界中のユーザによってすでに10万回以上ダウンロードされていました。
図1:ゲームアプリに偽装した不正アプリ「Flappy Birr Dog」
トレンドマイクロは、カメラアプリに偽装した複数のAndroid端末向け不正アプリ(「AndroidOS_BadCamera.HRX」として検出))をGoogle Playで確認しました。これらの不正アプリは、遠隔サーバから設定をダウンロードしてポップアップ広告を表示し、クリックしたユーザをフィッシングサイトやポルノアプリに誘導します。他にも、ユーザがアップロードした画像を窃取する、画像加工アプリに偽装した不正アプリも確認されています。これらの中にはすでに百万回以上ダウンロードされている不正アプリもありました。カメラアプリや画像加工アプリの人気を考えると、このようなダウンロード数は驚くべきことではありません。ダウンロードの大半はインドを中心としたアジアからのものでした。
本記事執筆時点(2019年1月30日)でGoogle はすでにこれらの不正アプリをGoogle Playから削除しています。
図 1:Google Playで確認された不正なカメラアプリ
トレンドマイクロでは、2018年1月~11月に発生したサイバー脅威の動向から、①フィッシング詐欺、②SMSを発端とする不正アプリ拡散、③「セクストーション」スパム が2018年に発生した個人利用者を狙う「三大脅威」であったと分析しています。本ブログでは、この2018年の脅威動向に関する速報を連載形式でお伝えしています。1月17日の記事では個人利用者を狙う脅威として「フィッシング詐欺」を取り上げました。最終回の今回は、個人利用者に対する脅威の中から「SMSを発端とする不正アプリ拡散」と「セクストーションスパム」に焦点を当てて分析します。
図:2018年国内の個人における三大脅威
(さらに…) 続きを読む
2014年に初めて確認された「EMOTET」は、追加モジュールによってさまざまな不正活動を行う機能によって現存するマルウェアの中で最も悪名高いものの1つとなっています。米コンピュータ緊急事態対策チーム(US-CERT)は、2018年7月、EMOTETによる被害の修復に州および地方政府は事例あたり最大100万ドル(2019年1月28日時点で約1億1,000万円)を費やしたとする注意喚起を公開しています。
EMOTETの活動とインフラストラクチャに関する2018年11月のブログ記事(英語)に続いて、本記事では「不正な文書ファイルを利用した拡散」と「実行ファイルのパックおよびデプロイ」を別々のインフラストラクチャが担う多層的な運用の仕組みについて解説します。
続きを読むアンダーグラウンドのオンライン掲示板を利用する個人や集団の多くは、取引が確実に行われることを保証するために多大な努力を払っています。問題が発生した際の仲裁はもちろん、身元審査や、第三者が取引を仲介するエスクロー制度および預り金など、相互監視による「抑制と均衡(チェック・アンド・バランス)」の制度によってアンダーグラウンド市場は運営されています。皮肉なことに、アンダーグラウンドのオンライン掲示板においても、一般のオンライン掲示板と同様の「礼儀正しく倫理的な行動」を定めた規則が厳しく適用されています。本記事では、長期的な信頼と短期的な利益という観点からアンダーグラウンドにおけるサイバー犯罪者の振る舞いについて解説します。
■アンダーグラウンド市場における信頼
アカウントの序列
ほとんどのアンダーグラウンドのオンライン掲示板にはアカウントの序列が存在します。この序列は、多くの場合、アカウントの利用年数、活動レベル、評判、問題のある取引を埋め合わせるための預り金の額のように、いくつかの基本的で測定可能な指標に基づいて決定されます。
図1:オンライン掲示板におけるアカウントの序列
(右のアカウントほど序列が高い)
トレンドマイクロは、2019年1月1日、サイバー犯罪集団「Magecart」による活動の急増を検出しました。Magecartは、電子商取引(eコマース)サイトに不正なコードを注入し、ユーザが入力した支払い情報を窃取する攻撃で知られている集団です。トレンドマイクロは同集団の監視を続けてきましたが、これまで目立った動きは確認されていませんでした。
今回確認された攻撃では、277のeコマースサイトで、ユーザが入力した情報を窃取する「スキミングコード」(「JS_OBFUS.C」として検出)が読み込まれていました。調査の結果、このスキミングコードは対象のWebサイトに直接注入されていたわけではなく、フランスのオンライン広告企業「Adverline」が提供するJavaScriptライブラリに注入されていたことが判明しました。トレンドマイクロは迅速にAdverlineに連絡し、同社はフランスのコンピュータ緊急事態対策チーム「CERT La Poste」の協力を受けて直ちに必要な措置を講じました。
図 1:Webスキミング活動による不正なドメインへのアクセス検出数
(トレンドマイクロのクラウド型セキュリティ技術基盤
「Trend Micro Smart Protection Network(SPN)」の統計に基づく)
今回の攻撃を確認した時点で、トレンドマイクロの機械学習および挙動検出技術により、不正なダウンローダ(「Downloader.JS.TRX.XXJSE9EFF010」として検出)はプロアクティブにブロックされていました。
続きを読むトレンドマイクロでは、2018年1月~11月に発生したサイバー脅威の動向から、①フィッシング詐欺、②SMSを発端とする不正アプリ拡散、③「セクストーション」スパム を2018年に発生した個人利用者に対する「三大脅威」であると分析しています。そしてこのような脅威動向の全体を通じて、金銭に繋がる情報を狙う攻撃、特にクレジットカード情報や認証情報を中心としたいわゆる個人情報を狙う攻撃が拡大する裏で、過去に漏えいした情報はまた別の攻撃に利用され新たな被害を招く、言わば「被害の再生産」の構図が明らかになってきたと言えます。
本ブログでは、この2018年の脅威動向に関する速報を連載形式でお伝えします。第2回の今回は個人利用者に対する脅威の中から「フィッシング詐欺」に焦点を当てて分析します。
図:2018年国内の個人における三大脅威
(さらに…) 続きを読む
