検索:
ホーム   »   不正プログラム   »   オンライン銀行向けセキュリティソフトの無効を試みる「SINOWAL」、オンライン銀行詐欺ツール「ZBOT」を手助け

オンライン銀行向けセキュリティソフトの無効を試みる「SINOWAL」、オンライン銀行詐欺ツール「ZBOT」を手助け

  • 投稿日:2013年11月15日
  • 脅威カテゴリ:不正プログラム, メール, ボットウイルス, TrendLabs Report, 感染媒体
  • 執筆:Threat Response Engineer - Anthony Joe Melgarejo
0

2013年は終わりに近づいているかもしれませんが、「TrendLabs(トレンドラボ)」は、いまだ弊社の「2013年におけるセキュリティ予測」が現実となるのを目の当たりにしています。トレンドラボは、新たな活動をする従来型の不正プログラムによる攻撃を確認。この不正プログラムは、トレンドマイクロの製品では、「BKDR_SINOWAL.COP」として検出され、特にセキュリティベンダ「Trusteer」のオンライン銀行向けのセキュリティソフトである “Trusteer Rapport” の無効化を試みます。

図1:Trusteer Rapport を検索するコードの一例
図1:Trusteer Rapport のモジュールを検索するコードの一例

“Trusteer Rapport” は、フィッシング攻撃および「Man in the Browser(MitB)攻撃」からユーザを守るソフトウェアです。このソフトウェアは、ユーザの使用する銀行により顧客のセキュリティ向上のために頻繁に提供されています。攻撃者が “Trusteer Rapport” の無効化に成功すると、ユーザは、主に銀行を対象とする不正プログラムによって利用される MitB攻撃に対して無防備な状態になります。

トレンドラボは、この脅威について Trusteer と連絡を取っています。Trusteer は、攻撃者が “Trusteer Rapport” の無効化には成功していないことを確認しており、そのためユーザは、危険な状態にさらされてはいません。

しかしながら「BKDR_SINOWAL.COP」は、自身では MitB攻撃を実行する機能を備えていません。つまりこの不正プログラムは、この種の攻撃を成功させるために、プラグインコンポーネントや他の不正プログラムを必要とします。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からのフィードバックによると、この攻撃は Eメール の添付ファイルとして侵入します。この添付ファイルは、「BKDR_ANDROM.LSK」として検出される「BKDR_ANDROM」ファミリの亜種が含まれる圧縮ファイルです。この不正プログラムは、「BKDR_SINOWAL.COP」と「TSPY_ZBOT.IRF」の両方を作成し、実行します。

図2:「SINOWAL」の不正活動
図2:「SINOWAL」の不正活動

このことから攻撃者には、「BKDR_SINOWAL」の特別な攻撃を防ぐソフトウェアを無効化する機能を利用し、オンライン銀行詐欺ツール「ZBOT」の Webサイトへの挿入による MitB活動の成功率を高める意図があると言えるでしょう。

今回の脅威は、情報収集といった不正な活動の実行において、不正プログラムの効果を高めるために異なる脅威がどのように連携することができるのかを示しました。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により、添付ファイルをもつこのようなメールをブロックします。また「Webレピュテーション」技術により、関連する URL へのアクセスをブロックします。特に「ファイルレピュテーション」技術により、この脅威に関連する不正プログラムを検出し、削除します。

以下は、この脅威に関連するファイルの SHA1ハッシュ値です。

  • 1888306B7A47CB2A0EE88529D9C0C55D5E43A870
  • 494F4902437F446C7C4178672489980889111CC1
  • 9DFB7E2EF011B537ED0238FA64058AFB7340EA27
  • B6598BB118F903175FFE5914A28F7D2E03BF471F
  • C9D153A22E75F30F4246F6B4E730D8CF5E33A333
  • FABCDC9564E1E7D59C406969C871C6C53652284E
  • 参考記事:

  • 「SINOWAL Attempts To Disable Rapport, Aid ZBOT」
    by Anthony Joe Melgarejo (Threat Response Engineer)
  • 翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2013年第1四半期のセキュリティ動向:「ソーシャル」、「クラウド」、「非Windows」
    2. オンライン銀行詐欺ツール「ZBOT」:スパムメール経由でもっとも拡散した不正プログラム(2013年8月)
    3. 「Blackhole Exploit Kit」の作成者逮捕とランサムウェア「CryptoLocker」の拡散との関連性
    4. BHEKに酷似したスパムメール、不正なファイルを添付


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.