オンライン銀行の Webサイトを対象とする不正プログラムは、ユーザから情報のみならず金銭をも収集するよう設計されているため、当然オンライン銀行を使用する人々にとって不安の一因となっています。従って、一部報道では次なる「ZBOT」と言われている「KINS」が登場し、このKINSが「最強」のオンライン銀行詐欺ツールとしてアンダーグラウンド市場で売買され、オンライン銀行詐欺ツール「ZBOT」がこれまで暗躍してきたように今後注意すべき不正プログラムになるのではないかという懸念が浮上してきたことは驚くべきことではありません。
続きを読む税金還付を装ったスパムメールは、脅威の全体像においては既に常とう化された手段であり、特に米国内で頻繁に確認されています。しかし、2013年7月下旬に確認された英国の納税者を対象としたスパムメールは、この脅威は地域が限定されたものではないということを物語っています。これらのスパムメールは、税金の還付期限に便乗して送られており、「TSPY_FAREIT」と検出されるファイルが添付されていました。この不正プログラムのファミリは、オンラインバンキングの Webサイトに関連する情報を収集することで悪名高い情報収集型不正プログラム「ZBOT」の亜種をダウンロードします。
続きを読む「TrendLabs(トレンドラボ)」は、2013年5月29日のブログ記事で、オンライン銀行詐欺ツール「ZBOT」が、この2013年に入って、再来していることを報告しました。「ZBOT」がソーシャル・ネットワーキング・サービス(SNS)「Facebook」を介して拡散しているという報道は、この事実の裏付けの一つと言えます。そして今回、トレンドラボは、自ら拡散機能を備える新たな「ZBOT」の亜種を確認しました。
続きを読む「オンライン銀行詐欺ツール」として悪名高い不正プログラム「ZBOT」が、急激かつ活発に活動しています。現在活動しているのは、これまでのものとは異なる亜種であることも確認されています。トレンドマイクロは、「2013年の脅威は何か? トレンドマイクロのセキュリティ予測」のなかで、サイバー犯罪は、従来の脅威が特定の改良や新機能が加えられて再登場してくると予測しました。そして、今年の第1四半期において、「CARBERP」やボットネット「Andromeda」といった脅威に見られるように、この予測が証明されることとなりました。
続きを読むバンキングマルウェア「ZBOT(別名:Zeus)」は、過去20年間で最も多くの被害をもたらした古くから存在するマルウェアファミリの1つです。ZBOTは2006年に初めて登場した後、2011年にアンダーグラウンドフォーラム上にそのソースコードを流出させたことで、その後数年間にわたって企業や組織を悩ませる新たな亜種を数多く登場させることになります。
最近確認されたZBOTの中で最も注目すべき亜種の一つが「Zloader」です。2019年後半に「Silent Night」という名前で初めてコンパイルされたZloaderは、情報窃取型マルウェアに始まり、「Cobalt Strike」、「DarkSide」、「Ryuk」などの他のマルウェアやツールをインストールして実行するための手段を攻撃者に提供する多機能ドロッパーへと高度化してきました。さらにZloaderは、攻撃者にリモートアクセス(遠隔操作)を提供したり、さらなる不正活動を可能にするプラグインをインストールしたりする機能も備えています。
近年のマルウェアは、自身のネットワークトラフィックを隠匿するために暗号化を行うことが増えています。一般的なネットワーク通信の暗号化が普及していることを考えると、これは当然のこととも言えます。Googleの透明性レポートでは、Google Chromeブラウザを経由するネットワークトラフィックの大部分はHTTPSトラフィックであることが報告されています。
トレンドマイクロでは過去6年間で、汎用性の高いマルウェアおよび標的型攻撃に用いられるマルウェアの両方で暗号化が多用されていることを確認しています。これらの暗号化は、検出回避や暗号化された通常のトラフィックに不正な通信内容を混入させるために行われます。マルウェアだけでなく、Cobalt Strike、Metasploit、Core Impactなどの商用のペネトレーションテスト(侵入テスト)ツールでも暗号化が用いられています。これらの事例における証明書の利用は多くの場合、SSL/TLS暗号化通信で通常使用されるX.509証明書の利用にまで及びます。
続きを読むオンライン銀行詐欺ツール(バンキングトロジャン)は「Web インジェクション」と呼ばれる手法により、正規サイト上で偽表示を行って様々な情報を詐取します。また「自動不正送金機能(ATS)」では、送金処理の完了に必要なワンタイムパスワードの入力を利用者自身に行わせるなど、利用者を騙す巧妙な手口が以前から確認されています。このようなバンキングトロジャンの巧妙な活動を支える存在として、「Web インジェクションツール」と呼ばれるアンダーグラウンドのツールが存在していることはあまり知られていないようです。今回はこの、バンキングトロジャンの情報詐取の活動を実現する Web インジェクションツールについて報告いたします。
続きを読むオンライン銀行詐欺ツール(バンキングトロジャン)は、利用者から詐取したクレジットカード情報をサイバー犯罪者が運用する不正サーバへアップロードします。このような詐取情報を集積するための不正サーバは、特に「マニピュレーションサーバ」とも呼ばれています。今回、社外のセキュリティリサーチャーからの情報提供を基に、トレンドマイクロでは活動継続中のマニピュレーションサーバを確認しました。そして更なる調査により、マニピュレーションサーバ内に日本国内のクレジットカード情報が最大 1,800 件保持されていたことを突き止めました。マニピュレーションサーバ内の情報が確認できるケースは稀であり、日本を狙うバンキングトロジャンによる被害の実体を示す貴重な事例として報告します。なお、トレンドマイクロでは、既に詐取されたみられるクレジットカード情報について各カード会社への連絡を行っております。
続きを読む「Rig Exploit Kit(Rig EK)」のような脆弱性攻撃ツール(エクスプロイトキット)を利用した攻撃は、通常、改ざんされた Web サイトを起点とします。攻撃者は、不正なスクリプトやコードを Web サイトに埋め込み、アクセスしたユーザをエクスプロイトキットのランディングページにリダイレクトします。しかし、2017 年 2 月から 3 月頃に実施されたサイバー攻撃キャンペーン「Seamless」では、非表示にした iframe を経由してランディングページにリダイレクトしていました。iframe は Web ページの中に別のページのコンテンツを埋め込むために使用される HTML 要素です。
続きを読む