無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2014/10

| ✏️ Firefly

Java for Chrome? 広告表示する不正なブラウザ拡張機能に注意

どこ由来なのか分からんけど Google Chrome の拡張機能として次のように名乗る不正なブツが登録されてたというお話が。 <ニセモノ!

Java for Chrome 1.x
Download the latest version of Java for Chrome

イメージ 1

■ すみません。下記はスパイウェアとかですか?拡張機能Java for Chrome http... - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13137277948

■ 魚沼産ぱんだぬこさんはTwitterを使っています: "最近、ニコ動が変な広告出すなーと思ったら、chromeにいつのまにか擬態拡張機能が追加されていたorz java for chrome 1.3って名前でそれ消したら広告表示が正常になったが・・はていつ入ったのやら"
https://twitter.com/panda_cat24/status/522577522173566977

Chromeウェブストア に存在する Java for Chrome のページを確認してみると、Java の正当な開発元である Oracle(オラクル)ではない iTech Development なる見慣れないナゾ名義となってました。 <このページはすでに削除された

イメージ 2

> chrome.google.com/webstore/detail/java-for-chrome/dajdkohbdgnocnkgmlpdaiegjkdfpine

このブラウザ拡張を手元の Google Chrome に故意にインストールしてみると、URL短縮サービスを介して本物の Java の公式サイトが開く挙動が存在し、このアクセスカウンターを確認してみると 日本は約500以上のユーザーさんで感染 してる?

イメージ 3
Java for Chrome 拡張の導入数は世界全体で3万9千人!?
bitly.com/1stZXeR+

ブラウザ拡張機能そのものは、欧州ドイツのサーバーに接続し広告コンテンツを表示する怪しげな処理が返ってきます。

イメージ 4
https://apps-analytics[.]net/jvaddon.js (78.46.69.155)
pastebin.com/xT7bZDF6

Chrome ブラウザの拡張は今年から不正対策として下の導入制限が設けられたので、これを上手く迂回するためこういう嫌らしい悪質な手口を投入してるんでしょう。

“Chrome ウェブストア”外で配布のChrome拡張機能が5月1日よりインストール不能に (窓の杜)
http://www.forest.impress.co.jp/docs/news/20140312_639205.html

本物の Java は拡張機能のところでなくプラグイン(chrome:plugins)のところにリストアップされます。
関連するブログ記事

タグ :
#ソフトウェア
このエントリーをはてなブックマークに追加

| ✏️ Firefly

ネット通販運営者向け偽サイト対処法 商品画像/デザイン/社名の盗用被害

イメージ 3

注文した商品が届かず、購入代金だけ盗まれる ネット通販詐欺サイト に対する 消費者向けの注意喚起ページ はけっこうたくさん見かけます。 

一方で、通販運営者さんが被害を受けてる場合もあります。

  1. 偽通販サイトが会社名、店名、所在地、電話番号を勝手に使われる

  2. 偽通販サイトがショッピングページのデザインや商品画像をパクる

・ なりすましECサイト対策協議会 - セーファーインターネット協会
http://www.saferinternet.or.jp/narisumashi/

通販サイト上で消費者向けに注意を促すサンプル文章も公開されてます。

サイトの目立つところに注意喚起のお知らせを掲示しましょう。
顧客が被害に遭わないように注意を促すとともに、貴店が対策に積極的なことを示し、安全に安心して買い物ができる環境整備に前向きな姿勢をアピールできます。
怪しいサイトを発見された方や実際に購入をしてしまった方から問い合わせが入る場合がありますので、それぞれの状況に即した対応を心がけましょう。

偽通販サイトを運営するサイバー犯罪者が100%悪いことが明らかです。

ただ、通販詐欺に巻き込まれた消費者は怒りのぶつけドコロがなく、ものスゴイ理不尽だけど、正当な通販運営者さんに対して 『詐欺サイトを放置してるから、ウンタラカンタラ~』 と、なぜか矛先が向けられたりして地獄です。

詐欺サイトの URL を公開する?

『当店を模したなりすましECサイト』 を 画像ファイル で掲載してる通販サイトを確認してます。

これでは検索エンジン Google や Yahoo! に文字列として認識されず、URL を検索ワードにして調べる消費者さんに気づいてもらえません。

イメージ 1

もし偽通販サイトのURLアドレスを名指しで公開するなら、必ず リンク(Aタグ/アンカータグ) にならないよう文字列を加工して紹介しましょう。

半角スペースを挿入したり、文字を置き換えることで、意図的な誘導ではない意思を示せます。

http //waruwaru-shopping com/
hxxp //waruwaru-shopping[.]com/

仮に、通販詐欺サイトへ <a> タグでリンクを貼ってしまうと、より多くのサイトからリンクされてると Google が判定し、検索結果のより上位に表示されてしまうことで、意に反して詐欺サイトを応援することになっちゃいます。

なりすましECサイトを見分ける特徴 (補足)

イメージ 2

【1】 運営企業の素性は?

日本の法律である特定商取引法で、ネット通販サイトは 《会社名》《所在地》《責任者の氏名》《電話番号》 の4点を消費者に提示する義務があります。

  • 通販詐欺サイトに不自然な表記が見られる
    (ex、社名とは思えない表現、責任者は性だけで名がない)

  • 通販詐欺サイトに電話番号や責任者の氏名が記載されてない


【2】 銀行口座の名義が個人名なら危険!

企業が運営してる通販サイトのはずが、購入した商品の代金を振り込む 銀行口座の名義が 個人名 なら詐欺通販 です。

名義人の国籍として、ベトナム人、中国人、モンゴル人、韓国人といった外国人の場合もあれば、日本人の例もけっこう確認されてます。

通販詐欺サイトの運営者は、注文確認メールにブラックマーケットで調達してきた赤の他人の銀行口座を記載してます。 (銀行口座の売買は犯罪行為で違法)

 
【3】 メールアドレスがフリーメールなら危険!


タグ :
#その他インターネット
このエントリーをはてなブックマークに追加

| ✏️ Firefly

最終更新 2017年12月16日

Steamウイルス感染のハッキング対策2つ スクリーンセーバー危険

イメージ 9

米国の Valve Corporation(バルブ・コーポレーション) が提供する世界的に人気のゲーム配信プラットフォーム Steam

イメージ 8
Dota カウンターストライク チームフォートレス…

そんな Steam で遊ぶユーザー間で、他愛のないメッセージがやり取りされる チャット の場を介して、不正なスパムメッセージがバラ撒かれます。

Steamゲームのアイテムを盗む新たなトロイの木馬 - Dr.Web
このマルウェアはSteam上のチャットやフォーラムから、武器や購入可能なその他アイテムのスクリーンショットを開くよう促すメッセージと共に拡散されていました。
トロイの木馬はシステムのメモリ内でsteam.exeプロセスを探し出し、ゲームアイテムに関する情報を取得します。続けて‘rare’、‘immortal’ 、‘legendary’などのキーワードを使用して貴重なアイテムを識別してそれらを盗み、転売します。
https://news.drweb.co.jp/show/?i=779

その手口は、いたって平凡です。

チャットで受け取ったメッセージのリンクを踏むよう仕向けて、ユーザーにコンピュータウイルスをダウンロードさせる、というものです。

結局、ダウンロードしたファイルをあろうことかユーザーさんの意思で起動してしまい、完全なる 自爆 によって深刻な被害がもたらされることになります。

  • Windows PC を乗っ取られる

  • Steam のアカウント情報を盗まれる

  • Steam のゲーム内アイテムを盗まれる

この Steam 由来のウイルス攻撃で、鍵となるキーワードが スクリーンショットスクリーンセーバー です。

脅威が降りかかるスパムメッセージ

Steam ウイルスの感染攻撃でターゲットになるのは、Windows パソコンを使う地球上の全 Steam ユーザーです。

【Steam ユーザーのプラットフォーム】
Steam が公開している統計情報  Steam Hardware & Software Survey: September 2014 によると、全 Steam ユーザー中 約95% が Windows 環境である

Steam ウイルスは、Mac OS X、Linux、スマホは基本的に影響ありません。

ところが、Windows ユーザーさんにとっては ”対岸の火事” のお話ではありません。

現に、日本国内の複数のユーザーさんが Steam のチャットで出会ったスパムメッセージの事例を Twitter に投稿して注意を促してます。



■ Steam ウイルス感染までの流れ

そんな Steam ウイルスの感染手口の流れを具体的に紹介します。

【1】

まったく見知らぬ外国人、あるいは フレンドに登録してある知り合い(→ 正規アカウントが乗っ取られてるパターン多い) から英語のメッセージを受け取ります。

『スクリーンショットを見てほしい』
『アイテムをあげるよ』
【2】

そのメッセージには、イメージ画像(JPEGファイル、PNGファイル)にアクセスするかのよう見える URL が記載されてあります。

そのリンクをポチッとクリックすると、不正なファイルがダウンロードされて、それを Windows ユーザーさんの意思で起動する → Steam ウイルス感染です。


ファイルの正体はスクリーンセーバー


Steam のチャットを介してダウンロードした不正なファイルの種類は?

Windows スクリーンセーバー
(拡張子 .scr)
拡張子の由来 → screensaver

  • このスクリーンセーバーをそのまま生身の状態で受け取る

  • zip形式rar形式 で圧縮された状態で受け取るパターンもある

次のイメージ画像は、Steam のチャットで実際にバラ撒かれる不正なファイルの現物、まさにコンピュータウイルスそのものです。

イメージ 2

イメージ 5

イメージ 6

イメージ 3

イメージ 1

イメージ 7
【Steamユーザーを狙うファイル名の例】
1UtgNwRY.scr / image.scr / Image_431232.exe / image_43634.scr / image7659177.scr / image293.scr / imeg84726.scr / img_11_28.scr / IMG_20122014_192725.scr / IMG_211102014_17274511.scr / img_34658.scr / Image_76541.scr / img_78456.scr / img51851.scr / Lshot721.scr / pictures291.scr / screenshot.scr / screenshot-12672-png.scr / screenshot_7184.scr / Screenshot_031.scr / Screen_49362489236.scr / Screen_8213872518372184874.scr …

もうゼッタイに開くな開くな開くな~、ひ・ら・く・な! <危険

ウイルス感染を回避するウイルス対策

《1》 ファイルの拡張子に注意を払うべし

ファイル形式として、スクリーンセーバー がとにかく圧倒的に多いです。

こうなると、実行ファイル(拡張子 .exe) と同一である スクリーンセーバー(拡張子 .scr)を受け取る不自然な状況でウイルスを見抜く ことは容易なはず。

というのも、Steam でゲームをバリバリ楽しんでる時に、Windows スクリーンセーバー を開かないといけない状況は200%あり得ないからです。
【バラまかれる Steam ウイルスの特徴】
● スパムメッセージの URL、ダウンロードされるファイル名の次の単語を含ませて、スクリーンショットやイメージ画像を彷彿とさせる
「jpg img image pictures screen screenshot printscreen imagescreen imagescaptures imagepixel imagejpeg imagesjpeg imagespictures screencapture screenpicture picturejpeg」

● スクリーンセーバーのアイコンを偽装して、ゲームのスクリーンショットやゲーム内アイテムがサムネイル表示されてるかのよう錯覚させる


ってことで、ウイルス対策の基本 「ファイルの拡張子に注意する」 ができてるかどうかが、その後の Steam ユーザーさんの運命を左右します。

実際の Steam ユーザーさんの声を見てもらうと納得できる?

まず、確認すべきところをキッチリ心得てる Steam ユーザーさんは、ウイルス感染を回避する絶好のチャンスに恵まれます。 <Yahoo!知恵袋より


イメージ 12

逆に、ゲームに浮かれて気が緩んでる Steam ユーザーさんは、目新しさもないトラップに足元をすくわれて、ウイルス感染地獄へ真っ逆さまです。

イメージ 10

イメージ 11

イメージ 13

イメージ 14


《2》 迷惑をかける前にアカウント管理を厳重に

Steam のアカウントハック被害で厄介なのが、自分の大事なアイテムが盗まれるだけの被害では済まないところでしょう。

上のウイルス感染者さんの投稿から分かるように、乗っ取られた Steam アカウントが 踏み台 にされ、別の Steam ユーザーさんに迷惑をかけまくるという…。

イメージ 4
Steam アカウントの作成ページ
パスワードの使い回し → 危険と警告

ゲームプレイさえ問題なくできていれば他はどうでもいい的な考えで、オンラインゲームのアカウント管理がいい加減でテキトーになってませんか?

  1. 複数のウェブサービスで同じパスワードを使い回さない

  2. 保険として 2 段階認証プロセス の活用を!
    (電話番号を登録して認証)

Steamガードモバイル認証 - Setamアカウントセキュリティ推奨事項
https://help.steampowered.com/ja/faqs/view/7EFD-3CAE-64D3-1C31

セキュリティソフトの対応でイタチごっこ

Steam ウイルスの被害者さんのお話を見て、『どうせ セキュリティソフト を導入してないんでしょw ざまーw』 なんて考えてしまう?

ところが、セキュリティ会社はウイルス定義データを更新して後を追う ”イタチごっこ” をしてる、怖い現実に目をそらしてはいけません。 <けっこう厳しい

【不正なファイルのスキャン結果】
www.virustotal.com/ja/file/5f0c8b6a323b22250049bfa747e0b228d019570cd94744cc075b9a362cb481b1/analysis/1415655823/
www.virustotal.com/ja/file/011b24d90de36f08d81f1855310cea3abb03793be6dadb0d8ccfd7d17a7d339e/analysis/1415490930/
www.virustotal.com/ja/file/42d29073508d945b586825aa436f55b672c0cd2827b8f64aaeb389501fa6262e/analysis/1415796090/
www.virustotal.com/ja/file/82ba4112e51aa726517c5b615751c3599c5b401d2b5c983299f6e0a8ac5b7f7b/analysis/1417390125/
www.virustotal.com/ja/file/46fda0034c9d306e96c1159eb855bc806839294b975dec68aeef0dcc7c10ab26/analysis/1417378292/
www.virustotal.com/ja/file/655ea73edaa298d785ba56a6152ec644c95b39c9ea2729da45dd37f93597908e/analysis/1417255844/

Steam ウイルスの攻撃者は、セキュリティソフトに妨害されては元も子もないワケで、新鮮なウイルス亜種を逐一投入する体制で臨んできてます。

つまり、不正なファイルをゲットした時点でファイルスキャンしても脅威と判定されず、結局は Steam ユーザーさんが踏み抜いて THE END の世界です。



Steamウイルスに感染した場合は?

Steam ウイルスの感染を喰らったら、Steam のプログラムを即刻終了させます。

そして、セキュリティソフトを導入したまま併用できてインストール作業もない 無料で使えるおすすめウイルススキャン&駆除ツール のクロスチェックをどぞ!


【Steamウイルス検出名の例】
ESET MSIL/Stimilik MSIL/PSW.Steam MSIL/TrojanDownloader.Agent MSIL/GenKryptik MSIL/Injector MSIL/Kryptik
Kaspersky Trojan-PSW.MSIL.Steam Trojan.MSIL.Crypt HEUR:Trojan.MSIL.Generic
Microsoft PWS:MSIL/Stimilini Trojan:MSIL/Eskimo
Symantec Infostealer.Steamilik Trojan.Gen
関連するブログ記事
タグ :
#ゲーム
このエントリーをはてなブックマークに追加

↑このページのトップヘ