トレンドマイクロは、2012年10月16日、複数の米国の銀行を標的とした計画的な大規模な詐欺活動についての記事を公開しました。この一連の攻撃は、新たに開発された「Gozi-Prinimalka」を利用しており、この不正プログラムは、オンライン銀行を狙う不正プログラム「GOZI」と同様の振る舞いを行います。
アンダーグラウンドでは、この詐欺活動が中断されたとのうわさがありますが、トレンドマイクロでは、現在も積極的にこの事例の動向を監視しています。この中断がうわさかどうかにかかわらず、顧客やユーザは、この一連の攻撃に対して適用可能な対応方法を持っておくことが最も重要です。
■「Gozi-Prinimalka」の解析
トレンドマイクロでは、この Gozi-Prinimalka の不正プログラムについての詳細を調べるために検体を取得し、不正プログラムの動作と注目すべき活動を確認するために解析を行いました。1つ目の検体は、「BKDR_URSNIF.B」として検出され、ユーザのインターネット閲覧活動を監視します。この不正プログラムは、「PayPal」、「Wells Fargo」および「Wachovia」といった銀行や金融機関に関連した特定の文字列が含まれている場合、システム情報を窃取します。
2つ目の検体は、「BKDR_URSNIF.DN」として検出され、”firefox.exe” の位置を特定するためにレジストリキー「HKEY_CURRENT_USER\Software\Classes\FirefoxHTML\shell\open\command」の存在を確認します。このレジストリキーの確認は、「JS_URSNIF.DJ」を作成するファイルを作成するために行われます。「BKDR_URSNIF.B」と類似する「BKDR_URSNIF.DN」は、特定の米国の銀行と金融機関のWebサイトを監視することを目的としています。
「BKDR_URSNIF.DN」は、上述のレジストリキーが確認できない場合、情報窃取活動を行いません。ただし、この不正プログラムは、バックドア活動における通信といった他の活動は実行します。
このバックドア型不正プログラム「BKDR_URSNIF.DN」は、監視の対象とするWebサイトに「JS_URNSIF.DJ」を組み込み、情報窃取を行います。影響を受けるユーザーがこれらのWebサイトに自身のログイン情報を入力すると、不正な JavaScript がこれらの情報を窃取し、HTTPポストを介して特定のリモートサイトに送信します。
「BKDR_URSNIF.B」および「BKDR_URSNIF.DN」の両バックドア型不正プログラムは、複数のコマンド&コントロール(C&C)サーバと通信し、不正リモートユーザからのコマンドを送受信します。これにより、感染コンピュータのセキュリティがさらなる危険にさらされます。
トレンドマイクロは、監視の過程で、環境設定ファイル内に追加された対象機関を発見しました。以下の団体は、「WebInjects機能」を介して「Man-In-The-Middle(MitM、中間者)攻撃」を用いた攻撃の標的となります。
トレンドマイクロでは、すでに上述の機関に情報提供し、報告しています。
■普及している情報収集型不正プログラム
窃取された情報は、サイバー犯罪者の利益となります。トレンドマイクロは、11月上旬、「PASSTEAL」および「PIXSTEAL」といった要注意の情報収集型不正プログラムについて報告しています。これらの不正プログラムは、複数の情報窃取活動を行います。そして、窃取された情報は、サイバー犯罪者によって、さらに情報を窃取するための材料として利用されます。「PASSTEAL」は、ブラウザに保存されている情報を窃取するためにパスワードを復元するアプリを利用しています。そのため、ユーザが HTTPS または SSL 接続を備えるWebサイトを訪問した場合も、ユーザの認証情報が窃取される可能性があります。一方、「PASSTEAL」は、画像ファイルを窃取します。
「GOZI」および「ZBOT」のような銀行を狙う他の不正プログラムによって行われる情報窃取は、銀行および金融機関の悩みの種として存在し続けます。なぜなら、金銭がある場所がこれらの機関だからです。これらのWebサイトは、サイバー犯罪者にとって、簡単に利用および悪用できる Webサイトとしてみなされています。個人ユーザの一般的なオンライン口座だけでなく、中小企業や大企業でさえも、企業および業務用口座がこれらの攻撃の標的になります。
ユーザは、報告されている機関を標的とする脅威について注意することをお勧めします。また、受信したどのようなEメールまたは通知でも、まずはこれらの機関に直接確認することも重要です。
さらに、トレンドマイクロでは、ユーザは、銀行から発行される取引明細書といった書類や郵便物を完全に処分しないことをお勧めします。なぜなら、これらはオンライン上の現在の資金と比較し、ユーザの口座を再確認するために利用できるからです。不正プログラムは、オンライン上の資金を変更することができ、これによりユーザはいずれの不正行為に疑うことはなくなります。残念なことに、サイバー犯罪者は、オンラインバンキングサイトが行う書類簡素化の取り組みを利用してきたのです。
他の脅威と同様に、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、この脅威に関連する不正なファイルを検出および削除します。また、関連する C&C サーバをブロックすることによって、この脅威からユーザを保護します。
※協力執筆者:Michael Cabel (Threat Response Engineer)
参考記事:
by Ivan Macalintal (Threat Research Manager)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)