オンライン銀行詐欺ツール「BANLOAD」、ブラジル限定のセキュリティ製品を利用して対象銀行を限定

セキュリティ対策製品の存在は、通常サイバー犯罪者にとって、阻止力や障害になるものと考えられています。しかしながら、特に「BANKER」または「BANBRA」としても知られている、トロイの木馬型オンライン銀行詐欺ツール「BANLOAD」の亜種に対しては当てはまりません。実際、「BANLOAD」は、被害者の範囲をブラジルの銀行「Banco de Brasil」のオンライン銀行ユーザに限定しています。「BANLOAD」は、自身の不正な動作を実行する前に特定のセキュリティ対策製品の存在を確認することで、被害者の範囲の限定を行っています。

■セキュリティを通しての感染
「BANLOAD」は、検出を回避し、中南米、特にブラジルに拡散させるためのいくつかの手法を頻繁に利用します。

  • ブラジルの銀行のオンライン銀行ユーザを保護するための詐欺対策ソフトウェア「G-buster Plugin(GbPlugin)」やセキュリティ対策製品の削除
  • ブラジルの公用語であるポルトガル語を既定の言語に設定している PC に対象を限定
  • 詐欺対策ソフトウェア、特に “GbPlugin” として自身を偽装

ブラジルの銀行の多くは、オンライン銀行ユーザに、”GbPlugin” を自身の PC にインストールするように推奨しています。”GbPlugin” は、オンライン銀行取引中の不正なコードの実行を防ぐ、ブラジルで利用されているセキュリティ製品です。

通常、銀行を対象とする不正プログラムは、”GbPlugin” の無効化、または削除を試みます。しかし、「TROJ_BANLOAD.GB」として検出されるこの新たな「BANLOAD」は、いかなる活動を実行する前に実際に “GbPlugin” の有無を確認します。さらに、インストールされた “GbPlugin” のバージョン確認までもをするのは、その “GbPlugin” のバージョンが Banco de Brasil の顧客を保護していることを意味するからです。

「TROJ_BANLOAD.GB」は、対象とした PC がオンライン銀行に使用されているかの指標として “GbPlugin” を利用します。PC に “GbPlugin” がインストールされていない場合、不正プログラムは単に自身を削除し、感染の形跡を残しません。この特定の事例では、”GbPlugin” は、不正プログラムが行う不正ファイルのダウンロードおよび実行を停止しません。ダウンロードされた不正プログラムは、「TSPY_BANKER.GB」として検出されます。この試みは、特定の銀行や金融機関から情報を収集するためです。

■ブラジルと中南米の脅威状況の関係
「BANLOAD」や「BANCOS」のようなトロイの木馬型オンライン銀行詐欺ツールは、10年以上にわたって中南米のユーザを攻撃しています。この地域内において、オンライン銀行を狙う不正プログラムの存在の背景には、同地域では、オンライン銀行が非常に普及しているというのが主な理由の 1つです。実際の銀行支店の不足といった物理的な制約がオンライン銀行が選ばれた一因となりました。

ブラジルは、中南米ではオンライン銀行の最先端となっています。進歩したオンライン銀行システムの恩恵を受けるかもしれませんが、それは必ずしも技術がその進歩に追いついている事を意味しません。トレンドマイクロが 2013年8月下旬に発表したリサーチペーパ「Brazil, Cybersecurity Challenges Faced by a Fast-Growing Market Economy(英語情報)」で、ブラジルは、不正プログラム「DOWNAD」の深刻な被害を受けており、それはパッチの適用がされていない PC や海賊版ソフトウェアと関連しています。これは、ブラジルのユーザが自身の PC のセキュリティに十分に気を配っていないことを意味しています。サイバー犯罪者にとっては、格好の餌食です。

「TrendLabs(トレンドラボ)」では、オンライン銀行を狙う不正プログラムにおいて、これまで複数の改良を確認してきました。例えば、PC のシステム言語やブラウザエージェントを検証する不正プログラム、IPアドレスを利用するフィッシングサイトなどです。今回の事例では、感染PC がブラジル国内にあるかを確認するために利用されました。

上述の確認で、ブラジルのユーザではないと判断した場合、フィッシングサイトは、代わりにユーザを正規の銀行サイトに転送します。オンライン銀行を狙う不正プログラムは、適切なプロキシサーバを自動で選択するプロキシスクリプト「proxy auto-config (PAC)」やフィッシングページを利用し、サイバー犯罪者の目的とする被害者の選別を行います。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。また、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:Fernando Merces

参考記事:

  • BANLOAD Limits Targets via Security
    by Mark Joseph Manahan (Threat Response Engineer)
  • 翻訳:木内 牧(Core Technology Marketing, TrendLabs)