NEWS

ニュース | 最新のニュースをお届けします

日本のインターネットバンキングの利用者を狙ったトロイの木馬を確認

この記事をシェア

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

日本のインターネットバンキングの利用者を狙ったトロイの木馬「Win32/Brolux.A」が確認されています。 このトロイの木馬は、HackingTeamの情報流出で使われたFlashの脆弱性や、unicorn bugと呼ばれる2014年末に発見されたInternet Explorerの脆弱性を利用して、広まっています。 これらのエクスプロイトは成人向けのウェブサイトを通して、今もなお広まっています。これらは被害者の個人情報を盗むよう仕組まれた、デジタル署名付きの不正なプログラムをインストールさせます。 今回の手口は、日本の金融機関を狙った別のトロイの木馬「Win32/Aibatook」で使われた手口に類似しています。

感染経路
ユーザーが悪意のある成人向けウェブサイトにアクセスすると、Internet Explorer の脆弱性(CVE-2014-6332) あるいはFlash Playerの脆弱性 (CVE-2015-5119) に対してエクスプロイトコードが仕掛けられます。
サイバー犯罪者はこのように、広く知られている脆弱性を武器にしています。このことからも、常日頃使っているソフトウェアを最新の状態に保つことがいかに重要かお分かりになると思います。Internet Explorerの脆弱性は長い間修正されずに残っていたため、今回の攻撃では以前使われた実証コードにわずかに変更を加えたものが使用されました。Flash Playerの脆弱性にいたっては、今年のはじめHackingTeamの情報流出についての調査中に、エクスプロイトコードが一般に公開されていたほどでした。これらの脆弱性を攻撃するコードは主要なエクスプロイトキットに含まれていますが、今回利用されたものはよく知られているエクスプロイトキットではないと考えられます。しかしながら、このエクスプロイトコードも難読化されておらず、解析は容易でした。下の画像に示すように、ユーザーから情報を盗もうとする成人向けサイトは別の正規の(マルウェアの含まれていない)成人向けサイトから動画を取得しています。

拡大して見る

攻撃の標的
メインの攻撃コードは設定ファイルを2つダウンロードします。1つ目にはトロイの木馬が監視している日本のインターネットバンキングサイトのURLが88個書かれており、2つ目にはウェブブラウザーでWebサイトを表示したときのタイトルが書かれています。Win32/Brolux.Aは標的とした日本のインターネットバンキングサイトにユーザーがアクセスするかどうかを監視するシンプルなトロイの木馬です。Internet Explorer、Firefox、Google Chromeに対応しています。ユーザーがInternet Explorerを使っているときはアドレスバーから閲覧中のページURLを取得して、あらかじめダウンロードしておいた1つ目の設定ファイルのURLと比較します。FirefoxあるいはGoogle Chromeを使っているときはWebサイトのタイトルを取得して2つ目の設定ファイルと比較します。もしこれらが一致した場合は、新しいInternet Explorerのプロセスを立ち上げフィッシングサイトへアクセスします。

フィッシングサイトへアクセスすると、ログイン認証情報とともにセキュリティに関する質問に答えるよう求められます。このフィッシングサイトは、金融庁と検察庁をよそおっており、URLは両庁の、WEBページは金融庁の実際のウェブサイトを模倣しています。

拡大して見る

拡大して見る

拡大して見る

このような不正なウェブサイトに対して、検察庁と金融庁は注意を呼びかけています。

中国との通信
ESETが解析したWin32/Brolux.Aの検体は中国語のMutex名を使用していました。また、フィッシングサイトにはエラーが含まれており、すべて日本語で書かれているわけではありませんでした。3番目にご紹介した画像では、2つの入力欄に中国語が書かれています。

ESETが解析したWin32/Brolux.Aの検体では、下の画像の証明書が使われていました。

興味深いことに、この証明書は中国の企業に対して与えられたもので、別の不正なアプリケーションやマルウェアの検体で以前署名されていたものです。さらに別の検体を解析すると、顕著に現れるものがありました。それは、韓国の銀行を標的としたマルウェア「Venik(Cyphort Labsの記事)」です。このマルウェアは被害者のコンピュータのhostファイルを書き換え、韓国のインターネットバンキングサイトへのアクセスをフィッシングサイトへのアクセスにすり替えます。ちなみに、この手口もWin32/Broluxのものと酷似しています。

Win32/Broluxは単純な手法を使っているとはいえ、このような脅威による被害を防ぐためには予防策を講じる必要があります。Win32/Broluxは拡散の際、古いエクスプロイトを使用していました。このことから、まず何よりもコンピューター上のソフトウェアを最新の状態に保つことが必要不可欠です。そして、インターネットバンキングのウェブサイトに見覚えのないコンテンツが表示された場合には疑いを持ち、 安易に個人情報を入力しないことも、この手の攻撃に対する効果的な対策です。

攻撃の痕跡

痕跡
証明書の拇印 88 ca 78 5c e6 ef 05 ac e6 de 58 46 86 86 29 cc d0 1b cd 40
Win32/Brolux.AのSHA1ハッシュ値 0010d0ae9c56e222c9e90d3ef7dd9a215ca1780d
Flash エクスプロイトのSHA1ハッシュ値 a646997f716f7af7a734a5148827431d6233101e
Venik(Win32/Brolux.Aと同一の証明書で署名された別のマルウェア)のSHA1ハッシュ値 41188c1c88f24879745ae4649e0af37f9a47d20c
VenikのSHA1ハッシュ値 73F1B8D4650AEC0F60C6C243B8AC68805830460E
不正なサイトのドメイン dmmm.jp
フィッシングサイトのURL fas-go-jp-security.kensatsutyo.com
設定ファイルの置かれていたドメイン luxurybro.co.kr

このマルウェアは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2015年10月5日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で定義されました。

 

ウイルス定義データベース: 12359 (20151005)

Win32/Brolux.A トロイの木馬
Win32/Brolux.Aの亜種 トロイの木馬

ウイルス定義データベース: 12360 (20151005)

SWF/Exploit.CVE-2015-5119.I トロイの木馬
SWF/Exploit.CVE-2015-5119.Iの亜種 トロイの木馬

なお、本文で取り上げた別のマルウェア「Venik」については、2015年9月27日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で定義されました。

ウイルス定義データベース: 12317 (20150927)

Win32/Farfli.BTU トロイの木馬
Win32/Farfli.BTUの亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。


■ウイルスの別名
Trojan.Win32.Inject.vgye (Kaspersky)


■ 日常のインターネット利用におけるリスクを軽減するために

各種のウイルスやマルウェアへの感染を防ぐために、以下の対策を行うことを推奨します。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品は、新規に作成されるウイルス、マルウェアなどに対して随時対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

インターネットバンキングのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!