Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Infostealer.Bancos: アプリケーションのデジタル署名を悪用する亜種

Created: 29 Jul 2011 08:11:00 GMT • Translations available: English
Rodrigo Calvo's picture
0 0 Votes
Login to vote

アプリケーションのデジタル署名を検証できません。このアプリケーションを実行しますか?

執筆: Rodrigo Calvo(CISSP)
        Sebastian Brenner(CISSP)

Infostealer.Bancos は、侵入先のコンピュータから重要な口座情報を盗み出す特定の悪質なソフトウェアプログラムを識別する際にシマンテックが使っている検出名です。Infostealer.Bancos は 2003 年の夏に初めて出現し、主にブラジルの銀行が狙われました。当初、このトロイの木馬は 1 つの亜種ごとに 1 つの金融機関を標的としていましたが、その手法は必ずしも成功しませんでした。そこで、成功率を上げるためにマルウェア作成者は 1 つの亜種で複数の金融機関を狙うようになり、Infostealer.Bancos の被害はブラジル以外の中南米各国の銀行にも広がっていきました。

昔ながらの手口: ソーシャルエンジニアリング

最近シマンテックは、南米のユーザーから警告をいただきました。不動産や履歴書に関する疑わしい情報が記載され、「access more details(詳細はこちら)」というリンクが含まれたメールメッセージについてのご報告です。不明な送信者からのメールを受信した場合には、十分に注意してください。メールの内容は数日ごとに変更されていますが、シマンテックで確認されたサンプルの 1 つとして以下のようなものがあります。

メール本文の翻訳:

Dear gentlemen, the motive of this email is to attach my curriculum vitae according to the new process requested by your company. Regards.
(拝啓。御社より要請のあった新しい手順に従い、本メールに履歴書を添付いたします。敬具)

いつものように、スパマーは受信したユーザーの関心を誘い、何も知らずにリンクをクリックするように仕向けています。しかし、クリックしても Word 文書は開かず、Web サイトにリダイレクトされます。

http://...../....riverocurriculumvitaejulioactuali...

数秒かかってサイトが読み込まれると、今度は一転して、プロセスを続行するには Java 証明書(偽装されています)を承認するように求められます。

[キャンセル(Cancel)]をクリックしても、数秒後にはまた Java 証明書の警告ボックスが現れます。しかたなく承認して[実行(Run)]をクリックしても、今度は何も起きていないように見えます。

裏で実行されている処理

ユーザーの目にはまったく見えませんが、Java アプレットが別の悪質な Java アプレットを作成し、それが実行されるとコンピュータが完全に危殆化します。

Infostealer.Bancos のこの亜種が実行する処理は、以下のとおりです。

•    ダウンローダをインストールする。
•    いくつかのレジストリキーを変更する。
•    2 種類の IP アドレスへの接続を確立する。
•    キーロガーを実行し、特定のフォルダで .html 拡張子のテキストファイルにデータを記録する。このファイルには、たとえば以下のような内容が保存されます。

Infostealer.Bancos のこの亜種は、他の亜種と同様に、侵入先のコンピュータから口座情報を盗み出し、メールアドレスを収集したうえで、所定のファイルを削除します。今回のブログで紹介したサンプルのような電子メールを受け取っても、リンクをクリックしたり添付ファイルを開いたりしないようにしてください。コンピュータやネットワークへの侵入を防ぐために、スパム対策とウイルス対策のソフトウェアをインストールし、常に最新状態に保つことをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。