2018年9月28日

株式会社Doctor Web Pacific

最新のバンキング型トロイの木馬は、ハイテクからユーザーの不注意やだまされやすさを利用したものまで、被害者の銀行口座から金銭を盗むために様々な方法を用いています。本記事では、Doctor Webのエキスパートによって発見された、ブラジルのリモートバンキングシステムのユーザーを脅かすバンカーについて紹介します。これまでに、このバンカーの300を超えるサンプルと、それらによって使用される120台のサーバー、そして拡散されている国が特定されています。

Trojan.PWS.Banker1.28321 という名前でDr.Webのウイルスデータベースに追加されたこのトロイの木馬は、PDF文書を表示させるAdobe Readerを装って拡散されています。起動されると、 Trojan.PWS.Banker1.28321 はAdobe Readerの名前がついたウィンドウを表示させます。

このトロイの木馬は、それが仮想環境で実行されているかどうかを確認し、仮想マシンが検出された場合は動作を終了します。また、Windowsの言語設定を監視し、システム言語がポルトガル語ではなかった場合、いかなる動作も実行しません。

トロイの木馬自体は.NETで書かれていますが、ローダーモジュールはVBscriptスクリプトとして実装されています。このローダーモジュールは標準的な MSScriptControl.ScriptControl COMオブジェクトによって起動され、管理サーバーに接続してそこから2つのZIPアーカイブをダウンロードします。その1つにはDelphi開発環境を使用して作成された、難読化された動的ライブラリが含まれています。そして、このライブラリに悪意のあるプログラムの主な機能が含まれています。

ユーザーがブラジルの様々な金融機関のインターネットバンキングサイトをブラウザのウィンドウで開くと、 Trojan.PWS.Banker1.28321 は密かにWebページを置き換え、偽の認証フォームを表示させます。銀行から受け取ったSMSメッセージに含まれる認証コードを入力するよう要求する場合もあります。入力された情報はサイバー犯罪者に送信されます。

ユーザーが訪問したインターネットバンキングサイトの内容を置き換えるこのような手法は多くのバンキング型トロイの木馬によって使用されています。多くの場合、それらトロイの木馬はブラジルのみでなく世界中の金融機関の利用者を脅かしています。過去1カ月の間に、Doctor Webのスペシャリストは340を超える Trojan.PWS.Banker1.28321 の亜種を特定し、トロイの木馬が悪意のあるライブラリをダウンロードしていたサイバー犯罪者のインターネットリソースの129のドメインとIPアドレスを発見しました。このことは、バンキング型トロイの木馬が広く拡散されていることを示しています。Dr.Web のウイルスデータベースには Trojan.PWS.Banker1.28321 のすべての既知の亜種に関する情報が追加され、それらトロイの木馬によって使用されるサーバーのアドレスもSpIDer GateのWebアンチウイルスデータベースに追加されています。したがって、Dr.Web のユーザーに危害が及ぶことはありません。

Trojan.PWS.Banker1.28321の詳細(英語)

#banker #banking_Trojan #online-banking #Trojan