2012年10月4日、さまざまな米国の銀行を狙う大規模なサイバー犯罪について計画されていることが報告されました。そして、およそ100人のサイバー犯罪者がこの計画に加担していると報告しています。
この攻撃は、新たに開発された不正プログラムを利用して実行されると考えられています。この新たな不正プログラムは、オンライン銀行を狙う不正プログラム「GOZI」に関連しており、「Gozi-Prinimalka」と呼ばれています。この新たな不正プログラム「Gozi-Prinimalka」が備える機能は、概ね「ZBOT」、「SPYEYE」そして「GOZI」などといった他のオンライン銀行を狙う不正プログラムが備える機能とほぼ同じです。
トレンドマイクロは、既に感染確認がされている「Gozi-Prinimalka」の亜種の環境設定ファイルを解析することができました。この環境設定の解析結果から、以下の金融機関の顧客にとって危険性が高まっています。
トレンドマイクロは、上述のとおり、ダウンロードされた環境設定ファイルを解析することによって対象とされている金融機関を特定することができました。これらの環境設定ファイルの一部は、以下の図のとおりとなります。この環境設定ファイルのコードから、問題のWebサイトの改変に利用されるコードの詳細を得ることが出来ただけではなく、弊社がどのWebサイトが危険にさらされているかをどのようにして特定したかがはっきりとわかると思います。
 |
|
|
トレンドマイクロは、この脅威の軽減できるように、上記の金融機関と連絡を取り合っています。当面、上記の環境設定ファイルには攻撃者によって実行される攻撃を示していると考えられることから、上記のリストに該当する金融機関の顧客は、自身の口座からの電信送金には、特に注意を払ってください。
トレンドマイクロの製品は、これらの不正プログラムの亜種を、「BKDR_URSNIF.B」といった、「BKDR_URSNIF」の亜種として検出します。トレンドマイクロは、引き続きこの不正プログラムを組み込んでいるWebサイト、またあらゆるコマンド&コントロール(C&C)サーバを見つけ出し、ブロックして対応を続けていきます。
参考記事:
by Ivan Macalintal (Threat Research Manager)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)