偽の「公式アプリ」で個人情報を盗む――フィッシング詐欺の手口

メッセージラボは、ブラジルの銀行のオンラインバンキングユーザーや、米New York Timesの読者を狙ったフィッシング詐欺攻撃の手口を発表。いずれも「公式」と称するアプリをインストールさせようとする。

» 2010年03月05日 12時52分 公開
[ITmedia]

 シマンテック傘下のメッセージラボ ジャパンは3月5日、ブラジルの複数銀行のオンラインバンキングユーザーや、米New York Timesの読者を狙ったフィッシング詐欺が相次いで見つかったとして、攻撃の手口を発表した。いずれも「公式アプリケーション」と称するファイルを実行させるのが特徴となっている。

 ブラジルの銀行をかたった攻撃では、2月にBradescoとSicrediの2行の公式窓口を名乗る、不審な実行可能ファイルが添付されたメールが出回った。このファイルはVisual BasicとInno Setupを悪用しており、実行すると銀行のロゴや商標がPC上に表示され、インストールするよう仕向ける。

ロゴを表示して正規のオンラインバンキングサービス用アプリだと信用させようとする(メッセージラボより)

 インストールが完了すると、「All Programs」フォルダにエントリが作成されて、デスクトトップ上にアイコンが表示される。ユーザーがこのアプリケーションを実行すると、正規のオンラインバンキングサービスに似た画面が表示されるが、その背後ではトロイの木馬が実行され、ユーザーが入力した個人情報を密かに攻撃者へ通知する仕組みになっていた。

記事リーダーを装う不正プログラム(同)

 また、New York Timesをかたる攻撃では、英国にある特定企業や公共部門のオンライン版読者を標的にしていた。標的者あてのメールには「Times Reader Plugin.exe」という記事リーダーアプリケーションに見せかけたファイルが添付され、実行してしまうと「iexplore.exe」を悪用して、「rundl32.exe」「rundl32」の2つのファイルを「C:\windows\system32」フォルダに作成する。

 これらのファイルはキーロガーの一種で、rundl32ファイルにユーザーが入力した情報を書き出し、デンマークにあるIPアドレスへデータを暗号化して送信していた。なお、一定期間後に活動を停止して自身を削除する仕組みになっていたという。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ