「TrendLabs(トレンドラボ)」は、2010年10月に、金融機関の情報を収集する不正プログラム「CARBERP」の注目すべき特徴について言及しました。この不正プログラムは、Windows 7 および Windows Vista に搭載されている「ユーザーアカウント制御(UAC)」の機能を事実上無効にし、管理者権限無しで自身をインストールする機能を備えています。その後2012年、「CARBERP」の不正利用に関与した8人が「Ministerstvo Vnutrennikh Del(ロシア内務省、MVD)」によって逮捕され、転機を迎えました。そしてこの逮捕劇が、「CARBERP」に終わりを告げるものとなるはずでした。
しかし2013年1月末、「CARBERP」は、改良された(そして高値が付けられた)バージョンとなり、またモバイル端末向けアプリの亜種が確認されたとして、再び話題となりました。
「BKDR_CARBERP.MEO」として検出されるこの不正プログラムは、自身の情報収集活動を補うために、”vnc.plug” や “vncdll.plug” を含む新たなプラグインをダウンロードします。”vnc.plug” や “vncdll.plug” は、攻撃者が感染コンピュータの遠隔操作に利用され、”Ifobs.plug” はオンラインバンクの監視に利用されます。
また「BKDR_CARBERP.MEO」は、特定のコマンド&コントロール(C&C)サーバに接続し、不正リモートユーザからコマンドを受信します。他の「CARBERP」の亜種と同様、「BKDR_CARBERP.MEO」は、ロシアの銀行を標的とします。
モバイル端末利用者の増加に便乗して、モバイル端末向け「CARBERP」の亜種もまた、2012年12月に、「Google Play」を含む特定のアプリ配信サイトで確認されました。これらのアプリは、「ANDROIDOS_CITMO.A」として検出され、銀行から送られる認証コードを含むような特殊な「SMSメッセージ(以下、テキストメッセージ)」を確認し、発見するとリモートサーバへと転送します。
トレンドマイクロの CTO である Raimund Genes は、「2013年におけるセキュリティ予測」のなかで、サイバー犯罪では、新たな亜種の作成よりも、既存の攻撃ツールの改良に焦点が当てられると予測しています。「CARBERP」の再来は、サイバー犯罪者たちが、まさにこの「道」を辿っていることの証ではないでしょうか。トレンドマイクロは、「CARBERP」のように繰り返しその有効性が実証されてきた脅威が、以前のものよりも洗練された形で、今年台頭することが予測できます。
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、コンピュータ上で確認した「CARBERP」の亜種を検出することによって、この脅威からユーザを保護します。また「BKDR_CARBERP.MEO」がアセスする関連Webサイトをブロックします。また「ウイルスバスターモバイル for Android」が、「不正アプリ対策」によって今回の脅威からユーザの端末を守ります。
安全のため、ユーザは、インターネット上では十分に注意を払うよう心掛けてください。よく知らない、または安全性が証明されていないようなWebサイトを閲覧することを避けてください。また同様に、ソフトウェアベンダから提供される重要なセキュリティの更新プログラムを定期的に適応することを忘れないでください。
参考記事:
by Mark Joseph Manahan (Threat Response Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)
