ブラジルのアンダーグラウンドで「Lordfenix」と名乗る 20歳の大学生が、最も評判の高いオンライン銀行詐欺ツール作成者の 1人となりました。この人物は、100 以上のオンライン銀行詐欺ツールを作成し、アンダーグラウンドで高い評価を得ています。これらの不正プログラムはそれぞれ 300米ドル(2015年7月3日時点、36,900円)以上の値段が付けられています。トレンドマイクロが確認した若い単独のサイバー犯罪者の中で、Lordfenix は最も新しく確認されたサイバー犯罪者です。
■「Lordfenix」とはどのような人物か
Lordfenix は、ブラジルはトカンティンス州で情報科学を専攻する 20歳の学生です。弊社は、この人物が「Filho de Hakcer」という別のハンドル名で活動していた 2013年4月までたどることができました。「Filho de Hakcer」とは、スペルに誤りがありますが、ポルトガル語で「ハッカーの子供」という意味です。彼はフォーラムの投稿で、自身が作成していると思われるオンライン銀行詐欺ツールのプログラミングを手伝うユーザを募集しました。
図1:「Lordfenix」が「Filho de Hakcer」と名乗っていた頃のフォーラムへの投稿
2013年9月に Facebook に投稿した写真によると、Lordfenix はこの事業で成功したようです。
図2:オンライン銀行詐欺ツール販売での成功を自慢する Facebook の投稿
■偽の Webブラウザから個人情報を窃取
Lordfenix は、それ以降、オンライン銀行詐欺ツールの開発と販売を続けています。その 1つが弊社の製品で「TSPY_BANKER.NJH」として検出される不正プログラムです。このオンライン銀行詐欺ツールは、ユーザが対象とする銀行の URL を入力すると、それを特定します。これらの銀行には、Banco de Brasil、Caixa、HSBC Brasil などが含まれます。
Google Chrome を実行中の場合、ブラウザのウィンドウを閉じてエラーメッセージを表示し、偽の Google Chrome の新しいウィンドウを開きます。この切り替えがスムーズに行われるため、すべての動作はほとんど気付かれません。ユーザのブラウザが Internet Explorer(IE)や Firefox の場合、元のウィンドウは開いたまま、エラーメッセージと偽のブラウザウィンドウを表示します。
図3:偽のブラウザウィンドウ
図4:「HSBC Brasil」のバンキングサイトになりすました Webページ
図5:「Banco de Brasill」のバンキングサイトになりすました Webページ
ユーザが偽の画面で個人情報を入力すると、不正プログラムは Eメールを介して攻撃者に情報を送信します。この Eメールアドレスは、Lordfenix が「Filho de Hakcer」と名乗っていた時から利用していたものです。
この不正プログラムは、セキュリティ対策製品からさらに自身を守るためにプロセス「GbpSV.exe」を終了します。このプロセスは「G-Buster Browser Defense」と関連します。「G-Buster Browser Defense」は、オンラインで取引中の情報窃取を防ぎ、顧客のプライバシーを保護するために、ブラジルの多くの銀行で使用されているセキュリティ対策製品です。
■不正プログラムを無料で配布
Lordfenix は、自身の技術に大きな自信を付けました。弊社は、Lordfenix がアンダーグラウンドのフォーラムのメンバーに、全機能が備わったオンライン銀行詐欺ツールのソースコードの無料バージョンを提供しているのを確認しています。彼によると、この無料バージョンで 4つの異なる銀行の顧客の個人情報を窃取できます。しかし、この大盤振る舞いにも限度があります。さらに多くの銀行を狙いたいユーザは、彼と連絡を取り、「TSPY_BANKER.NJH」を購入しなければなりません。弊社は、この不正プログラムを調べてみましたが、たしかに実行可能なものでした。
図6:オンライン銀行詐欺ツールのソースコードを無料で配布すると宣伝するフォーラム上の投稿
弊社ではまた、Lordfenix が Skype のプロフィール上でオンライン銀行詐欺ツールを宣伝しているのを確認しました。ここでは、キー入力操作情報を収集する機能を備える不正プログラム「KL PROXY」としてオンライン銀行詐欺ツールを紹介しています。
図7:「Lordfenix」のSkype上のプロフィール
■若きサイバー犯罪者の小さな事業
弊社の調査によると、Lordfenix は、2013年4月以降、100以上のさまざまなオンライン銀行詐欺ツールやその他の不正なツールを作成しています。オンライン銀行詐欺ツールはそれぞれ 1,000 ブラジルレアル(2015年7月3日時点、約39,600円)で販売され、この若きサイバー犯罪者は、プログラミングの才能を大きな利益をもたらす非合法な事業に費やしています。
不正プログラムの作成が簡単であるという理由の他、Lordfenix にこの小さな事業を立ち上げさせた要因がいくつかあります。
- ブラジルはネットバンキングの利用者が多い。2013年に行われたブラジル国内の銀行取引のうち、およそ 51% がインターネット経由である
- サイバー犯罪はブラジルでは必ずしも最優先課題ではない。違反者への刑罰は現在のところ非常に軽い
単独で活動し、わずか 20歳であるにもかかわらず、Lordfenix の名はサイバー犯罪者たちの間で知れ渡りました。若いサイバー犯罪者が深刻な被害を与えるという事例は、モバイル版ランサムウェアを開発した中国の 10代の若者たちの事例とよく似ています。2015年第2四半期、弊社が本ブログで取り上げた単独のサイバー犯罪者は、Lordfenix が最初ではありません。カナダの「Frapstar」や、ブラジルの「FighterPOS」やナイジェリアの「HawkEye」を用いたサイバー犯罪者など、すべて基本的な不正プログラムを用いて単独で利益を上げています。
サイバー犯罪において、サイバー犯罪者がベテランか新人かは関係ありません。もたらされる結果は同じです。一般のユーザが被害を受けるのです。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)