現在シマンテックは、オンラインバンキングを狙う Trojan.Neloweg というトロイの木馬を追跡しています。初期の感染数を見ると、英国とオランダで少数のユーザーが感染したことがわかります。
この脅威を詳しく調べたところ、感染したユーザーのログイン情報と口座情報が盗まれている可能性があることがわかりました。影響を受けた銀行ページのリストの一部を以下に示します。
これ以外にどこで感染が発生したかを調べるために、感染数の調査対象を全世界に広げてみましたが、今回の脅威は明らかにヨーロッパに集中しています。
Trojan.Neloweg は、オンラインバンキングを狙うことでよく知られる Zeus というトロイの木馬に類似しています。Zeus と同様、Trojan.Neloweg も自身が侵入したサイトを検出してカスタムの JavaScript を追加します。異なるのは、Zeus が同梱の設定ファイルを利用するのに対して、Trojan.Neloweg は悪質な Web サーバーに設定ファイルを置いている点です。
オンラインバンキングの特定のページが一致すると、Trojan.Neloweg は隠された DIV タグを使ってそのページの一部を白い領域で覆い、悪質なサーバーに置かれたカスタムの JavaScript を実行します。シマンテックは現在、感染したユーザーがアクセスするとオンラインバンキングページがどのように変更されるかを確認するために、この脅威を監視しているところです。
影響を受けるブラウザの種類については、Firefox と Internet Explorer の合計数が利用統計の 50% を超えていますが、Trojan.Neloweg がこれら 2 大ブラウザを標的にするのは当然のことでしょう。むしろ興味深いのは、Trident(Internet Explorer)、Gecko(Firefox)、WebKit(Chrome/Safari)といったブラウザエンジンを利用する少数のブラウザもはっきり狙われていることです。一定範囲のブラウザを標的にする理由はいくつか考えられます。最も明らかな理由は、ボットが少しでも多くの標的に感染するよう意図しているということです。2 番目の理由は、セキュリティを確保するためにオンラインバンキングでは知名度の低いブラウザを利用するというユーザーがいることでしょう。こうした利用者の少ないブラウザを標的にすることで、攻撃者はオンラインバンキングに使われるブラウザに感染を広げられる可能性が高くなるというわけです。
攻撃者は、オンラインバンキングの情報だけでなく、その他のログイン情報も盗み出そうとします。そのために、マルウェア作成者はブラウザにボット機能を持たせています。
上のスクリーンショットからわかるように、ブラウザ(この例では Firefox)がボットと同じように機能し、コマンドを受け取っています。現在このブラウザで開いているページのコンテンツを処理してユーザーをリダイレクトし、特定のページの読み込みを停止してパスワードを盗み出し、実行可能ファイルを実行したうえで自身を停止するのです。残念なことに、この停止機能がいささか強力すぎるため、重要なシステムファイルが削除され、その結果ユーザーが正常にログインできなくなります。
自身を Firefox に融合するところが、Trojan.Neloweg のユニークな点です。これまでに確認されていたのは、マルウェアが悪質な拡張機能を作成するケースで、ユーザーは特定のそのアドオンを無効にするだけで危険を避けることができました。Trojan.Neloweg の場合、それでは済みません。コンポーネントのひとつなので、他の拡張機能やプラグインのように Firefox のアドオンマネージャにアドオンとして表示されないうえに、Firefox の設計上、Firefox がインターネットへの接続を試みるたびに Neloweg は再作成され再インストールされます。
ブラウザ自体に実装されるボットというのは例が少なく、その意味で Neloweg は特異な存在です。DeepSight のアカウントをお持ちのお客様は、「Trojan.Neloweg — Bank Robbing Bot in the Browser report(Trojan.Neloweg - ブラウザ上でオンラインバンキングを狙うボットについてのレポート)」で詳しい情報をお読みいただけます。
更新
シマンテックセキュリティレスポンスは、Trojan.Neloweg についてより詳しく解説したホワイトペーパー(英語版)を公開しています。こちらからダウンロードいただけます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。