オンラインバンキングの情報を盗むトロイの木馬、Skypeで拡散中 | RBB TODAY

オンラインバンキングの情報を盗むトロイの木馬、Skypeで拡散中

 Dr.WEBは、BackDoor.Caphawファミリーに属するバンキングトロイの木馬がSkypeによって大拡散されているとして注意喚起を発表した。

ブロードバンド セキュリティ
Dr.WEBによる発表
  • Dr.WEBによる発表
株式会社Doctor Web Pacific(Dr.WEB)は11月29日、BackDoor.Caphawファミリーに属するバンキングトロイの木馬がSkypeによって大拡散されているとして注意喚起を発表した。BackDoor.Caphawは、主にBlackHole exploit packなどのエクスプロイトを利用して拡散されており、リムーバブルメディアやネットワークドライブ上に自身をコピーする機能を持つ。10月の後半にはSkypeを利用したBackDoor.Caphawの拡散が目立つようになり、この傾向は11月の5~14日にピークに達した。

犯罪者は、すでに感染しているシステムのユーザアカウントを使用してメッセージを送信している。メッセージにはinvoice_XXXXX.pdf.exe.zip(XXXXXは任意の数字)という名前のついたアーカイブへのリンクが含まれ、このアーカイブに含まれている実行ファイルがBackDoor.Caphawトロイの木馬となっている。インストールされると実行中のプロセス内に自身のコードを挿入し、犯罪者の管理するサーバに接続、リモートバンキングシステムに接続しているかどうかを確認する。接続していた場合、ユーザの開いたWebページ内に任意のコンテンツを埋め込み、Webフォーム内に入力されたデータを盗む。

このバックドアは感染したコンピュータ上でストリーミング動画を録画し、それらをRARアーカイブとして犯罪者のサーバへ送信する。また、それぞれ異なる機能を実行する追加のモジュールをリモートサーバからダウンロードし、実行する機能を持つ。追加モジュールには、FTPクライアントによって保存されたパスワードを検索して犯罪者に送信するモジュールや、VNCサーバを設置するモジュール、さらに、マスターブートレコードを感染させるためのブートキットモジュールや、Skype経由で悪意のあるリンクを送信するためのモジュールがある。

オンラインバンキングの情報を盗むトロイの木馬、Skypeで拡散中(Dr.WEB)

《吉澤亨史@ScanNetSecurity》

関連ニュース

特集

page top