ITmedia NEWS > セキュリティ >
ニュース
» 2007年02月22日 09時11分 UPDATE

「使いやすい」ボットネット制御パネル、フィッシング攻撃に悪用

Websenseが報告したフィッシング攻撃では、攻撃者に使いやすいボットネットのコントロール画面を提供してフィッシングや情報検索に使えるようにしていた。

[ITmedia]

 セキュリティ企業のWebsenseは2月21日、トロイの木馬をインストールする悪質サイトが新たに見つかったと報告、攻撃者がボットネットのコントロールに使っているインタフェース画面を公開した。

nukebot01.jpg Websenseが公開したボットネットコントロール用のインタフェース

 今回見つかった悪質サイトはドイツ、英国、エストニアでホスティングされ、Microsoftデータアクセスポンポーネント(MDAC)の脆弱性(2006年4月にパッチ提供済み)を悪用した攻撃コードが仕掛けられている。

 脆弱性を修正していないユーザーがこのサイトを訪れると、「iexplorer.exe」というファイルが実行され、ロシアのサーバにアクセスしてさらに5本のマルウェアファイルをインストールする。

 これらマルウェアがインストールされた状態でエンドユーザーが金融機関などのサイトにアクセスすると、ページ内のHTMLが一部書き換えられ、ユーザーのログイン情報がロシアのサーバに送信される。標的になっている金融機関や電子商取引サイトは50件以上。

 ロシアのサーバはボットネットをコントロールする機能も併せ持つという。攻撃者はこれを使ってリモートでマシンを制御したり、フィッシング攻撃を仕掛けることが可能。

 コントロール画面ではデータベース検索用の使いやすいインタフェースが攻撃者に提供され、国別の感染数も表示されている。現在、1日1000件以上が感染している状況が示されているといい、感染数はオーストラリアと米国が筆頭に立っている。

nukebot02.jpg 国ごとの感染数なども把握できる

 なお、Websenseによれば、オーストラリアで偽のニュースをかたって感染を広げているトロイの木馬と、今回の攻撃は別のものと見られる。

Copyright © ITmedia, Inc. All Rights Reserved.