日本の銀行を狙うマルウェア出現、中間者攻撃で情報搾取

世界的に猛威をふるう「Zeus」や「Citadel」とは異なり、日本を含む3カ国を標的にしているという。

» 2015年08月25日 14時48分 公開
[ITmedia]

 セキュリティ企業のパロアルトネットワークスは8月25日、日本のオンラインバンキングを標的にする新たなマルウェア「Retefe」が活発化しているとして注意を呼び掛けた。オンラインバンキングを狙うマルウェアでは「Zeus」や「Citadel」が世界的に猛威をふるったが、Retefeは日本、スウェーデン、スイスを標的にしているという。

 同社によると、Retefeは「注文」や「領収書」などの件名が付けられたなりすましメールを通じて感染する。差出人は家電量販店を名乗る場合が多いものの、日本では国内大手ECサイトを名乗る手口が確認された。

日本に送り付けられた「Retefe」のサンプル(パロアルトネットワークスより)

 Retefeは、感染先のコンピュータでWindows PowerShellを使用して偽のルート証明書をインストールし、ユーザーと標的とする金融機関サイトとの通信を攻撃者サーバへ中継させるように設定を変更。攻撃者サーバでは暗号化された通信がいったん復号されて通信内容が搾取されてしまう。情報搾取後に攻撃者サーバが通信を再び暗号化して相手先に転送することで、検知を逃れる攻撃者の意図がうかがえるという。

マルウェアがインストールする偽の証明書(同)

 同社によれば、Retefeには別のマルウェアをコンピュータにダウンロードさせる機能もあり、最近になってバックドア型トロイの木馬「Smoke Loader」の亜種がダウンロードしていることも分かった。Retefeによる攻撃は、世界的にはZeusやCitadelに比べると小規模であるものの、攻撃の拡大が予想されると警告している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ