オンライン銀行詐欺ツール「ZBOT」ファミリは、おそらく今日の最もよく知られた不正プログラムファミリの 1つでしょう。「ZBOT」は、一般的にオンライン銀行に関連する認証情報を収集することで知られています。しかし「ZBOT」は、情報収集以外の機能も備えており、いくつかの「ZBOT」の亜種は、ランサムウェアのような他の脅威のダウンロードまたは作成といった不正活動を実行します。
「TrendLab(トレンドラボ)」は、2014年3月、デスクトップを「ロック」し、Webサイトを表示させるとみられる「ZBOT」の亜種(「TROJ_ZCLICK.A」として検出)を確認しました。この種の不正活動は、「ZBOT」の亜種としては一般的ではないものです。この不正プログラムが PC に侵入すると、ユーザがウインドウやファイルを開くなどあらゆる操作をするたびに、デスクトップを「ロック」し、Webサイトを表示します。これらの表示される Webサイトは、デスクトップ画面全体を占有するため、ユーザが開いているウインドウやファイルにアクセスできなくなります。開いているウインドウを見ることができる例もありましたが、その場合も、これらの Webサイトはバックグラウンドで実行されています。またユーザは、コマンド「デスクトップの表示」を実行することで、この不正プログラムによる妨害を回避することができますが、不正プログラムは、Webサイトを表示し続けます。
 |
ここで重要なのは、表示される Webサイトは、すべて正規の Webサイトであるということです。これらの Webサイトは、ゲーム関連の Webサイトからチケット販売サイト、音楽関連 Webサイト、検索エンジンにまで及びます。またユーザは、実際にこれらの表示される Webサイトを閲覧・操作することができます。そして、この不正プログラムの興味深い機能は、マウスを使用していない時に、様々なマウス動作やスクロール動作を実行するというものです。
この不正プログラムの特筆すべきことは、この亜種は、情報収集といったこの不正プログラムのファミリに関連する従来の不正活動を実行しないということです。しかしながら、解析によりこの検体は、「ZBOT」のコードを含んでいることを確認しました。つまり、この「ZBOT」の亜種は、オンライン広告を不正にクリックして金銭を稼ぐ「clickbot」の活動のみを読み込むということを意味します。この点から見れば、クリック報酬型広告(pay-per-click, PPC)を介し収益を生み出すことがこの不正プログラムの主な目的であると考えるのが、論理にかなっているでしょう。
この不正プログラムの存在によって、サイバー犯罪者は新たな不正活動をするために、従来のよく知られた不正プログラムに細かい改良を加え続けていることが明らかになりました。すべては、犠牲者であるユーザから利益を生み出すためです。そのためユーザは、インターネットを使用する際は、常に重要な安全のための実施方法を思い出すべきです。最新のソフトウェアアップデートのインストールやスパムメッセージの削除といった習慣は、脅威から PC を守るのに大いに役立ちます。
参考記事:
by Mark Joseph Manahan (Threat Response Engineer)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)