「使いやすい」ボットネット制御パネル、フィッシング攻撃に悪用

[ITmedia]

　セキュリティ企業のWebsenseは2月21日、トロイの木馬をインストールする悪質サイトが新たに見つかったと報告、攻撃者がボットネットのコントロールに使っているインタフェース画面を公開した。

Websenseが公開したボットネットコントロール用のインタフェース

　今回見つかった悪質サイトはドイツ、英国、エストニアでホスティングされ、Microsoftデータアクセスポンポーネント（MDAC）の脆弱性（2006年4月にパッチ提供済み）を悪用した攻撃コードが仕掛けられている。

　脆弱性を修正していないユーザーがこのサイトを訪れると、「iexplorer.exe」というファイルが実行され、ロシアのサーバにアクセスしてさらに5本のマルウェアファイルをインストールする。

　これらマルウェアがインストールされた状態でエンドユーザーが金融機関などのサイトにアクセスすると、ページ内のHTMLが一部書き換えられ、ユーザーのログイン情報がロシアのサーバに送信される。標的になっている金融機関や電子商取引サイトは50件以上。

　ロシアのサーバはボットネットをコントロールする機能も併せ持つという。攻撃者はこれを使ってリモートでマシンを制御したり、フィッシング攻撃を仕掛けることが可能。

　コントロール画面ではデータベース検索用の使いやすいインタフェースが攻撃者に提供され、国別の感染数も表示されている。現在、1日1000件以上が感染している状況が示されているといい、感染数はオーストラリアと米国が筆頭に立っている。

国ごとの感染数なども把握できる

　なお、Websenseによれば、オーストラリアで偽のニュースをかたって感染を広げているトロイの木馬と、今回の攻撃は別のものと見られる。