「一枚の絵は一千語に匹敵する価値がある」と言われていますが、残念ながら今回価値があるのは、あなたの銀行口座情報です。「TrendLab(トレンドラボ)」は、データの存在を隠ぺいする技術「steganography(ステガノグラフィー)」を利用し、環境設定ファイルを画像内に隠ぺいする不正プログラムを確認しました。この技術が珍しく思えるかもしれませんが、新しいわけではありません。トレンドラボでは、今回と同様にステガノグラフィーを利用した標的型攻撃について本ブログ上で報告しています。
今回確認されたオンライン銀行詐欺ツール「ZBOT」の亜種(「TSPY_ZBOT.TFZAH」として検出)は、ユーザに気付かれず画像ファイル(拡張子 JPG)を感染PC 上にダウンロードします。ユーザは、このダウンロードされた画像を見ることすらありませんが、例えユーザがこの画像を見た場合でも、普通の写真に見えるでしょう。トレンドラボでは、夕日の画像を確認しましたが、別のセキュリティ専門家は、猫の画像を確認したと報告しています。キーワード「夕日」で検索すると人気の画像共有サイトにこの画像が表示されるため、ダウンロードされる画像は、これらの Webサイトから引用されたものと思われます。
ステガノグラフィーを利用することで、監視される銀行や金融機関のリストが画像内に隠されます。このリストには世界中、とりわけヨーロッパや中東の銀行および金融機関の情報が含まれています。ユーザがリスト内の Webサイトへアクセスすると、不正プログラムは、認証情報といった情報を収集します。
 |
|
|
今回の攻撃では、ステガノグラフィーを用いた情報収集活動以外にも、独自の不正活動を行います。「TSPY_ZBOT.TFZAH」は、「TROJ_FOIDAN.AX」を、感染PC 上にダウンロードします。このトロイの木馬型不正プログラムは、iframe内に Webページが読み込まれるのを防止する「X-Frames-Options HTTP ヘッダ」をユーザのアクセスする Webサイトから削除します。これにより Webサイトは frame内に表示されるようになります。Web管理者は、この「X-Frames-Options HTTP ヘッダ」を使用し、ユーザに意図しないクリックを行わせる攻撃「クリックジャック」に自身の Webサイトが利用されないように安全を確保します。
「ZBOT」は、これまでの事例に鑑みて、通常クリックジャック攻撃に関連しておらず、「身代金要求型不正プログラム(ランサムウェア)」やファイル感染型ウイルスといった他の脅威に誘導する場合もありました。
ステガノグラフィーの利用は、クリックジャックに関連する不正プログラムと共に、既存の不正プログラムの脅威がいまだその技術と不正活動を拡大させていることを表しています。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Webサイトへのアクセスをブロックします。また、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
※協力執筆者:Mark Manahan
参考記事:
by Jennifer Gumban (Threat Response Engineer)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)