Trojan.Zbot.B による HTML インジェクション

前回のブログでは Trojan.Zbot.B の設定ファイルの構造について詳しく説明しましたが、今回はその設定ファイルに含まれる別のコマンドについてさらに詳しく見てみたいと思います。ここでは、Web ブラウザに HTML コードをインジェクトするコマンドについて説明します。

この設定ブロックには、0010、0020、0004、0008 という 4 つのコマンドレコードがあります。コマンド 0010 は、次のパターンに一致する HTML データを検索するために使われます。

<td><div class=”account-status”> および Self Triggered Debits -->

次のコマンド 0020 は、キャプチャした HTML データの表現に関するテキスト表現を定義します。たとえば、%1 と表記した場合は、実際のデータを表すワイルドカードになります。コマンド 0004 は、HTML インジェクションが行われる条件を定義します。このサンプルでは、HTML データは <head> タグの後ろに挿入されます。最後のコマンド 0008 は、インジェクトされる HTML データを定義します。以下にインジェクトされた HTML データの一部を示します。

攻撃者は、Google が提供する正当な Ajax コードライブラリを使用しているため、独自のコードを記述する必要がありません。

このようなコードは、ひそかに Web ページにインジェクトされ、その結果がユーザーに表示されます。インジェクトされたダイアログボックスには、疑われないようにさまざまな機関から盗まれた画像やロゴも含まれています。ただし、画像ファイルの URL を調べれば、その画像が実際の組織でホストされているものではないことがわかります。基本的に、トロイの木馬はさまざまな Web サイトから画像を「借用」しているため、ユーザーは HTML コードを見ない限りその画像のホスト元を知ることはできません。

コンピュータが Trojan.Zbot.B に感染している場合、トロイの木馬の標的となっている URL にアクセスすると、機密情報の入力を求める Web ページやポップアップダイアログボックスがブラウザに表示されることがあります。次のスクリーンショットは、設定ファイルによりインジェクトされた HTML データから生成されたものです。

オンラインで取引を行う際に過剰な情報の入力が求められたり、サービスへのアクセスを検証するために個人情報の入力が要求されたりする場合、それらは危険な兆候と考えられます。このような兆候は、その要求が偽りであることを知るうえでの手がかりになります。信用のある金融機関がインターネットや電話でキャッシュカードの暗証番号を要求することはありません。

技術面でサポートしてくれた Andrea Lelli 氏に感謝します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。