「ONLINEG」は、オンラインゲームの個人情報を収集する不正プログラムとして一般的に知られていますが、今回、バックドア機能を備えた亜種が確認されました。「TrendLabs(トレンドラボ)」では、2013年7月下旬、オンラインゲームを狙う不正プログラムの亜種である「TSPY_ONLINEG.OMU」を確認。この亜種は、一般的な情報収集の動作に加え感染コンピュータにバックドア型不正プログラムのダウンロードも行うことで、感染コンピュータを危険な状態にさらし、さらなる攻撃を仕掛けます。
問題の「TSPY_ONLINEG.OMU」は、複数の韓国の Webサイト上で確認されました。これらのサイトは、改ざんされており、上述の不正なファイルが組み込まれていました。トレンドラボでの解析の結果、この不正プログラムは、1年ほど前に初めて確認された「TSPY_ONLINEG.ASQ」の更新版である可能性があります。
オンラインゲームの情報を収集する他の不正プログラムと同様に、「TSPY_ONLINEG.OMU」は、特定のオンラインゲームに関するユーザアカウントと認証情報を収集します。しかしこれだけでなく、ユーザが特定の業界の Webサイトで管理画面へのログインページを閲覧すると、ユーザのキーボードやマウス使用を監視する機能を備えたバックドア型不正プログラムがダウンロードされます(「BKDR_TENPEQ.SM」として検出)。これにより攻撃者は、これらのサイトに使う認証情報を収集することが可能になります。
これらの攻撃の標的とされた企業はすべて韓国に拠点があり、以下の業界に属しています。
韓国でのオンラインゲームの人気の高さはよく知られています。それ故に、「TSPY_ONLINEG.OMU」を利用した今回の攻撃の背後に存在するサイバー犯罪者達には驚くべきことではありません。しかしながら、この「ONLINEG」の利用は、不正プログラムの実際の攻撃意図を隠す試みだったのかもしれません。なぜなら、この特定の不正プログラムのファミリは、オンラインゲームでの情報収集に特化していることで知られており、ユーザは実際のコードを見ずにして、起こりうる脅威を過小評価しているのかもしれません。
今回の事例は、サイバー犯罪者が古くても効果的な脅威を引き続き改良して再利用する実例でもあります。それ故、ユーザは、常にオンラインセキュリティを最新の状態にしていることが重要となります。
2013年8月15日現在、影響を受けた韓国の Webサイトからは、上述の不正プログラムは削除されており、運営も正常な状態にあります。
※協力執筆者:Eruel Ramos (Threat researcher)
参考記事:
by Maharlito Aquino (Threat Research)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)