情報収集型不正プログラム「ZBOT」に「SPYEYE」、ブラジルのオンライン銀行ユーザも攻撃対象に

オンライン銀行の個人情報を狙う情報収集型不正プログラム「BANCOS」の本拠地として、従来、ブラジルが知られていますが、この「BANCOS」ファミリは、通常、南米限定で確認されています。同じく金融機関を対象とする情報収集型不正プログラム「ZBOT」や「SPYEYE」、「CARBERP」は、他の地域でよく確認されている一方、ブラジルのサイバー犯罪者により一般的に利用されておらず、またブラジルのユーザを対象としていません。

しかしながら、この状況が変わってきているようです。トレンドマイクロでは、ブラジルの地元ハッカーフォーラムで、何者かが情報収集型不正プログラムとして非常に悪名高い不正プログラムのツールキットを販売している投稿を以下のように確認しました。

  • Zeus version 3
  • SpyEye version 1.3.48
  • Citadel version 1.3.45
  • Carberp (“last version with all resources”)
  • CrimePack Exploit kit version 3.1.3 (leaked version)
  • Sweet Orange exploit kit version 1.0
  • Neutrino exploit kit
  • Redkit exploit kit
  • また、上述のツールキットに関心を持った購入者が、いずれかを購入した場合、無料で「SpyEye version 1.3.45」も入手できるようです。

    図1:ボットネット「Zeus」のVersion 3.0のオンライン広告
    図1:ボットネット「Zeus」の Version 3.0 のオンライン広告

    投稿された価格が破格な安値である点は特筆に値します。ツールキット「ZeuS」や「CrimePack」に興味ある購入者は、それぞれ350レアル(約1万7,500円、2013年4月15日時点)のみの支払いとなります。一方、ツールキット「SpyEye」および「CARBERP」はそれぞれ150レアル(約7,500円)、「Citadel」は100レアル(約5,000円)となります。

    その後の更新情報によると、この投稿に関連するサイバー犯罪者は、フィッシング詐欺のツールキットの広告も出していました。標的となる組織は、米決済サービス「PayPal」、米銀行「Bank of America」、英国系金融グループが運営する「HSBC」、コスタリカを本拠地とする電子決済サービスを提供する「SCI Liberty Reverse」が含まれており、ツールキットごと50レアル(約2,500円)のみの価格が設定されています。

    図2:更新されたフィッシング用ツールキットの広告
    図2:更新されたフィッシング用ツールキットの広告

    トレンドマイクロでは、近い将来、これら2つの脅威、つまりブラジル特有の「BANCOS」と、「ZBOT」や「SPYEYE」などブラジルにとって「外来種」である他の情報収集型不正プログラムが絡んだ事態が予測されます。この事態が発生すれば、まず最初にブラジルの銀行を狙う不正なWebInjectファイルによる攻撃がやってくると考えられます。その次に2つの傾向が予想されます。まず1つめとして、「BANCOS」が情報収集するために他のツールキットのコードの一部を利用し始める恐れが挙げられます。2つめとして、「BANCOS」同様に、他のツールキットもまたブラジルの各銀行のセキュリティを回避するために必要なモジュールを利用し始める可能性があります。

    結局、私たちは、ブラジル以外の地域で悪名高い「ZBOT」や「SPYEYE」といった情報収集不正プログラムだけでなく、ブラジルのみで暗躍していた「BANCOS」といったオンライン銀行を狙う各情報収集不正プログラムに遭遇することになるでしょう。そして、これらの不正プログラムは、より潜伏機能が向上し強力になることが予測されます。この影響として、ブラジル国内においては、従来の「BANCOS」だけでなく他の情報収集型不正プログラムも活発に確認されることが考えられ、さらにブラジル国内のユーザを特別に狙う不正プログラムの亜種が新たに作成されることになるでしょう。

    金融機関を狙う情報収集型不正プログラムや犯罪に利用されるツールキットの開発などについては、以下もご参照ください。

  • アンダーグラウンドにおける調査情報:ツールキット/エクスプロイトキットの進化
     /archives/6343
  • 参考記事:

  • New Crimeware In BANCOS Paradise
     by Ranieri Romera (Senior Threat Researcher)
  •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)