不正送金マルウェア「Rovnix」に新手口、偽画面で追加情報を盗む

国内の金融機関を狙うために攻撃手法がカスタマイズされているという。

[ITmedia]

　セキュリティ企業のセキュアブレインは12月17日、インターネットバンキングの不正送金犯罪に使われるマルウェア「Rovnix」に、新たな攻撃機能が加わっていることを確認したとして注意を呼び掛けた。金融機関の通知に見せかけた画面を表示させ、その間にさまざまな情報を盗み取るという。

　Rovnixはバックドア型のトロイの木馬の一種で、無数の亜種が存在するとみられる。セキュアブレインが解析したRovnixの検体は、国内の金融機関を標的にするようカスタマイズされていた。

Rovnixが表示する偽画面の一例（セキュアブレインより）

　感染先のコンピュータでは攻撃者サーバからWebブラウザの処理に割り込むための攻撃機能を追加入手し、ユーザーがインターネットバンキングのログインページにアクセスすると、ログインページを改ざんする。この間に金融機関からの不正送金に関する注意喚起の画面表示を妨害して表示させないようにする。ユーザーが改ざんされたログインページで情報を入力し、ログインボタンを押してしまうと、Rovnixが入力された情報を盗んで攻撃者サーバに送信する。

　さらにユーザーがログインボタンを押した後、金融機関がセキュリティ対策ソフトの使用を推奨しているように見せかた偽の画面も表示する。これはユーザーにログインを続けさせる手口とみられ、Rovnixはこの間にさらなる情報を盗んで攻撃者サーバに送信しているという。

　なお、偽の画面はセキュリティ対策ソフトの使用を推奨する内容以外に、次のようなものが確認されている。

偽メッセージの一例（セキュアブレインより）

• システムメンテナンスを装い、情報の入力を促すメッセージ
• 暗証番号等の入力を促すコンテンツ
• ワンタイムパスワード等の入力を促すコンテンツ
• 偽のセキュリティ対策ソフトの配布ページと思われるコンテンツ
• 偽のセキュリティ対策ソフトのインストール中を装うと思われるコンテンツ

　セキュアブレインによれば、Rovnixはカーネルに感染する可能性が高いことから、万一感染した場合はOSの再インストールが必要になる可能性があるという。同社ではOSやアプリケーション、セキュリティソフトを最新の状態に保ち、いつも利用している金融機関の正しい画面を把握して異変に気が付くように警戒したり、金融機関などからの連絡手段や最新のセキュリティ情報に注意してほしいとアドバイスしている。