金融データを欲しがる地獄の洞穴モンスター




By アンドリュー・ブラント / Andrew Brandt

先週、金融データを盗もうとする新種の卑劣なトロイの木馬がウェブルートのレーダー画面に現れました。このトロイの木馬は、被害者のコンピューターに入り込むと、検出されないように自分自身をルートキットにして被害者のブラウザーを監視し、オンライン バンクのセキュリティ保護された HTTPS ログイン ページに接続されるのを待ちます。待ち構えていたログイン ページに被害者がアクセスすると、このトロイの木馬は追加の確認情報を要求するフォームを生成し、ログイン ページの上に表示します。


「In order to provide you with extra security, we occasionally need to ask for additional information when you access your accounts online (より安全にご利用いただくために、お客様がオンラインで口座にアクセスなさった際、不定期に追加情報の入力をお願いしております)」というメッセージがポップアップ ウィンドウに表示されます。誰にだって追加のセキュリティは必要です。

クレジット カードやデビット カードの番号、社会保障番号、誕生日、母親の旧姓、デビット カードの暗証番号、銀行が発行したクレジット カードの表面に印刷されているセキュリティ コードなど、銀行が要求しているように見える追加情報はすべて、お客様の口座があれば、銀行側は当然既に持っているはずです。

問題は、フォームに表示されているすべてのフィールドに入力するまで、このフォームはページ全体を完全にブロックして、ログインできなくなるということです。その後、このフォームは SSL で暗号化された入力情報を IP アドレス 121.101.216.234 のサーバーに送信します。この IP アドレスは、Beijing Telecom に割り当てられているアドレス空間の一部です。

ご利用の銀行がカスタマー サービス業務の一部を外部委託していることはあり得ますが、お客様の金融個人情報を盗み出すことは銀行が提供する通常のサービスには含まれません。

この IP アドレスでホストされている Web ドメイン、cavemonsterfromhell.netfestivaloffire.netstratus35.net には、ホストされている場所の他にも興味深い共通の特徴があります。すべてのドメインが同一人物によって登録されており、そのうちの 2 つ (この記事の作成時点) は、トロイの木馬 Zbot の指揮管理サーバーとして動作するためのマルウェア ファイルをホストするドメインとして、さまざまなブラックリストに登録されています。

このトロイの木馬は buildxxxxx.exe という名前で、自分自身をコピーしてコピー先のフォルダー C:\buildxxxxx.exe\ にルートキットを作成し、巧妙に姿を隠します。その後、このフォルダー内で config.bin というファイルを作成します。Zbot と同様の動作ですが、このファイルはいくつかの重要な点が Zbot と異なっています。また、buildxxxx.exe というキーをレジストリの HKCU の「Run」パスに追加して再起動時に起動されるようにし、このレジストリ キーもルートキットにします。

Bank of America、Wells Fargo、USBank のような大規模な銀行はすべてこのトロイの木馬の攻撃対象となっています。ただし、このトロイの木馬の作者が予測しなかった点が 1 つあります。ログイン ページのドロップダウン メニューです。上のスクリーンショットでは、Well Fargo のログイン ページのドロップダウン メニューがポップアップ ダイアログに顔を出してしまい、ほとんど完璧だった幻想を台無しにしている様子をご覧になれます。

一方、ウェブルートではこのトロイの木馬の一括検出を可能にし、ティッシュ ペーパーに指先で穴をあけるのと同じくらい簡単にこのトロイの木馬を打ち破れるようにしました。ここで繰り返し申し上げますが、お客様の銀行が既に持っている情報をお客様に尋ねることはありません。そのようなことがあった場合 (少なくとも Web 上では)、まず疑うようにしてください。

wordpress blog stats