?????????????? 2014 ???????: ????????????? 53 % ????????????????
2014 年、金融機関を狙うトロイの木馬の感染件数は減少したものの、攻撃者が最新のセキュリティ対策を回避し始めたことで、依然として多くの脅威が拡散しています。
Read More
Tag Archives: banking
Financial Trojans in 2014: Takedowns contributed to 53 percent drop in infections, but threat is still prevalent
While the number of financial Trojan detections decreased in 2014, the threat was still considerable, as attackers moved to bypass newer security measures.Read More
Cavalos de Troia em 2014: Queda de 53% nas infecções, mas a ameaça ainda prevalece
Ainda que o número de detecções de Trojans financeiros tenha diminuído em 2014, a ameaça ainda é considerável, já que os atacantes alteraram suas táticas para contornar as medidas de segurança mais recentes.
Read More
Troyanos Financieros: Las infecciones disminuyeron 53 por ciento en 2014, pero la amenaza prevalece
Aunque el número de detecciones de Troyanos financieros disminuyó durante 2014, la amenaza fue considerable, ya que los agresores se han movido para evadir nuevas medidas de seguridad.
Read More
Phishing scam steals Finnish bank passwords, earns big money
Earlier this month, we told you about a spear phishing campaign specifically targeting banking customers in Czech Republic, and now a similar scam is targeting bank customers in Finland. This weekend, Aktia, Nordea, and Nooa Säästöpankki customers received text messages and emails informing them that their online banking services were being discontinued because of a […]
Phishing scam steals Finnish bank passwords, earns big money
Earlier this month, we told you about a spear phishing campaign specifically targeting banking customers in Czech Republic, and now a similar scam is targeting bank customers in Finland. This weekend, Aktia, Nordea, and Nooa Säästöpankki customers received text messages and emails informing them that their online banking services were being discontinued because of a […]
?????????????? 2013 ???????
「そこにカネがあるからさ」という有名な台詞は、銀行強盗ウィリー・サットン(Willie Sutton)が「なぜ銀行を襲うのか」と問われて答えたものだと言われています。真偽のほどは別としても、この台詞は今でも有効です。
同じ状況が、金融機関を狙う今日のマルウェアにも当てはまります。お金の移動する場所がオンラインバンキングのアプリケーションに変わったので、攻撃者もそれに引き付けられています。オンラインバンキングのサービスを標的にするトロイの木馬が開発され続けているのは、驚くほどのことではありません。最近のブログでお伝えした例は Neverquest というトロイの木馬ですが、これは 2006 年に初めて確認されて以来使われ続けている Trojan.Snifula の後継種でした。
金融機関を狙う最も一般的なトロイの木馬による感染の件数は、2013 年の 1 月から 9 月までの間に 337% という増加を示しています。1 カ月あたり 50 万台近くのコンピュータが感染して詐欺行為を受けやすくなっているという計算になります。金融機関を狙うトロイの木馬の背景にある仕組みと、その運用の規模を詳しく理解するために、シマンテックはオンラインバンキングを狙うトロイの木馬 8 種類に属している 1,000 以上の設定ファイルを解析しました。これらの設定ファイルには、トロイの木馬が攻撃する URL と、そのとき利用する攻撃方法が定義されています。攻撃方法は、単なるユーザーのリダイレクトから、バックグラウンドでトランザクションを自動実行できる複雑な Web インジェクションまでさまざまです。解析した設定ファイルは、合計で 1,486 の金融機関を標的にしていました。このことからも、トロイの木馬が広く拡散しており、攻撃者にとって金銭的な儲けを生むのであればあらゆるものが標的になっていることが明白です。
最も頻繁に攻撃されているのは米国内の銀行で、調査したトロイの木馬の設定ファイルのうち 71.5% に出現していました。標的となった上位 15 の銀行はすべて、設定ファイルのうち 50% 以上で見つかっており、2 つに 1 つのトロイの木馬が上位の銀行の少なくとも 1 行を狙っていることになります。このように高い数値が表れているのは、トロイの木馬とともに売られている基本ツールキットの一部に、標的となる URL がサンプルとして存在するためかもしれません。あるいは、トロイの木馬が依然としてこうした企業に対して有効だからという理由も考えられます。金融機関の一部はいまだに強力な認証を採用していないからです。もちろん、大部分の金融機関はこうしたサイバー犯罪の推移を意識しています。また、このような攻撃を遮断する新しい保護対策も講じているのですが、残念なことに、新しいセキュリティ対策を始動するには時間も費用も掛かり、攻撃者は常に新しい攻撃の経路を生み出しています。結局のところ、ソーシャルエンジニアリング攻撃は依然として機能し続けることになります。巧妙な作り話に引っ掛かってしまう人というのは、後を絶たないからです。オンラインバンキングのサービスを狙う攻撃は、来年も続くものとシマンテックは予測しています。
金融機関を狙うトロイの木馬の状況について詳しく知りたい方のために、このトピックを扱ったホワイトペーパーの最新版を公開しました(英語)。
金融機関を狙う脅威の 2013 年における概況については、以下の解説画像も参考にしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
The State of Financial Trojans in 2013
“Because that’s where the money is!” This is a quote frequently attributed to Willie Sutton as the answer he allegedly gave when asked why he robbed banks. Even though Mr. Sutton never gave this answer, it still holds true.
This paradigm also holds true when it comes to today’s financial malware. Online banking applications are where money is moved; hence they are also the focus of attackers. It should not come as a surprise that we still see further development of Trojans targeting online banking services. One example that we recently blogged about is the Neverquest Trojan, a successor of Trojan.Snifula, which was first seen in 2006 but is still in use.
The number of infections of the most common financial Trojans grew to 337 percent in the first nine month of 2013. This represents nearly half a million infected computers per month that are susceptible to fraud. To get a better understanding of the mechanics behind financial Trojans and the scale of their operations, we analyzed over one thousand recent configuration files belonging to eight online banking Trojans. These configuration files define which URLs the Trojan should attack and what attack strategy to use. Attacks vary from simple user redirection to complex Web-injects, which can automatically conduct transactions in the background. The analyzed configuration files targeted 1,486 organizations in total. This highlights the wide distribution of the Trojans, which target everything that could yield a monetary profit for the attacker.
The most frequently attacked bank is located in the US and was present in 71.5 percent of all the examined Trojans’ configuration files. All of the top 15 targeted banks were found in more than 50 percent of the configuration files. This means that every second Trojan targets at least one of these banks. These high numbers might be because the targeted URLs are present as examples in some of the basic toolkits, which are sold with the Trojans. Another reason could be that the Trojans simply still work against these firms, as not all financial institutions have moved to strong authentication yet. Of course, most financial institutions are aware of these cybercrime developments and are deploying new protection mechanisms to block such attacks. Unfortunately, new security measures take time and money to roll out and the attackers will always come up with new attack avenues. After all, social engineering attacks still work, since some people will always fall for a cleverly crafted story. We expect that we will continue to see attacks targeting online banking services in the coming year.
If you want to learn more about the state of financial Trojans, we released an updated whitepaper on this topic.
We also have the following infographic on 2013’s financial threat landscape.
The State of Financial Trojans in 2013
“Because that’s where the money is!” This is a quote frequently attributed to Willie Sutton as the answer he allegedly gave when asked why he robbed banks. Even though Mr. Sutton never gave this answer, it still holds true.
This paradigm also holds true when it comes to today’s financial malware. Online banking applications are where money is moved; hence they are also the focus of attackers. It should not come as a surprise that we still see further development of Trojans targeting online banking services. One example that we recently blogged about is the Neverquest Trojan, a successor of Trojan.Snifula, which was first seen in 2006 but is still in use.
The number of infections of the most common financial Trojans grew to 337 percent in the first nine month of 2013. This represents nearly half a million infected computers per month that are susceptible to fraud. To get a better understanding of the mechanics behind financial Trojans and the scale of their operations, we analyzed over one thousand recent configuration files belonging to eight online banking Trojans. These configuration files define which URLs the Trojan should attack and what attack strategy to use. Attacks vary from simple user redirection to complex Web-injects, which can automatically conduct transactions in the background. The analyzed configuration files targeted 1,486 organizations in total. This highlights the wide distribution of the Trojans, which target everything that could yield a monetary profit for the attacker.
The most frequently attacked bank is located in the US and was present in 71.5 percent of all the examined Trojans’ configuration files. All of the top 15 targeted banks were found in more than 50 percent of the configuration files. This means that every second Trojan targets at least one of these banks. These high numbers might be because the targeted URLs are present as examples in some of the basic toolkits, which are sold with the Trojans. Another reason could be that the Trojans simply still work against these firms, as not all financial institutions have moved to strong authentication yet. Of course, most financial institutions are aware of these cybercrime developments and are deploying new protection mechanisms to block such attacks. Unfortunately, new security measures take time and money to roll out and the attackers will always come up with new attack avenues. After all, social engineering attacks still work, since some people will always fall for a cleverly crafted story. We expect that we will continue to see attacks targeting online banking services in the coming year.
If you want to learn more about the state of financial Trojans, we released an updated whitepaper on this topic.
We also have the following infographic on 2013’s financial threat landscape.
???????????????????????????
悪質なゲームをダウンロードさせる手口は特に目新しいものではありませんが、マルウェアの作成者はいよいよオンラインゲームユーザーを標的にしようという野望を露わにしています。ゲームを狙うトロイの木馬が、ゲームのログイン情報に加えてユーザーの銀行口座も狙うようになってきています。
Infostealer.Gampass などの脅威が、何年も前からオンラインゲームユーザーのログイン情報やデータを盗み出してユーザーを悩ませてきましたが、登場してからまだ比較的日の浅い Trojan.Grolker も、新しい攻撃経路を使っています。
シマンテックは Trojan.Grolker の活動を 2012 年中頃から確認しています。感染の大部分は韓国で確認されており、それより規模は小さいながらハンガリーでの感染も見られます。攻撃者が韓国を標的にしているのは、韓国でオンラインゲーム人気が高いためです。
図 1. Trojan.Grolker の標的となっている国
今月までは、Trojan.Grolker もゲームを狙う典型的なトロイの木馬だったようで、盗み出すゲーム関連の情報は先行するマルウェアと同様のものでした。古い Grolker サンプルのコードを分析したところ、ブラウザの URL を Grolker の狙うゲームサイトの URL と比較していたことがわかります。それが対象の URL であった場合、Grolker は悪質な JavaScript を Web ページにインジェクトしていました。
図 2. 古い Trojan.Grolker の URL チェック
Grolker の新しいサンプルも以前と同じコードを使って、ブラウザに読み込まれた URL を韓国のオンラインバンキングサイトの URL と比較します。
図 3. オンラインバンキングサイトの URL を検索する新しい Trojan.Grolker
Grolker は、以前のサンプルと同様に、攻撃者が狙う URL を含むページに悪質な JavaScript をインジェクトします。韓国ではあらゆるオンラインバンキングサイトが標的となっているため、韓国のユーザーは大きく被害を受けています。
図 4. Grolker がオンラインバンキングサイトに悪質な JavaScript をインジェクト
正常な Web ページにインジェクトされる悪質な JavaScript は、トロイの木馬のバイナリファイルにハードコード化されています。Grolker は別個の設定ファイルを使わないので、その点がオンラインバンキングを狙う他のトロイの木馬(Trojan.Zbot など)とは異なるところです。
Grolker はブラウザヘルパーオブジェクト(BHO)を使って、コンポーネントを Internet Explorer のプロセスにロードします。オンラインバンキングを狙う他のトロイの木馬はコンポーネントをブラウザのプロセスに直接インジェクトし、ネットワーク機能をフックして Web トラフィックを傍受するのが一般的であり、これも Grolker が他のトロイの木馬と異なる点です。このように、Trojan.Grolker はオンラインバンキングを狙うトロイの木馬よりも、ゲームを狙う従来型のトロイの木馬に似ています。
Trojan.Grolker の攻撃から保護するために、最新のコンシューマ向けのノートン製品やシマンテックのエンタープライズ向けソリューションを使用することをお勧めします。シマンテックは、この脅威を Trojan.Grolker として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。