A estas alturas, seguramente ya sepa que el Certificate Authority/Browser Forum ha ordenado a las autoridades de certificación que dejen de admitir certificados RSA con claves de 1024 bits para SSL y firma de código de aqu&…
Tightly targeted cyber-espionage attacks designed to steal intellectual property are hitting the manufacturing sector and small businesses with ever greater venom, with the latter, highly vulnerable, organisations the target of 31% of such attacks &nda…
Users of social networks save and share huge amount of data and become a favorite target of potential attacks. Therefore we, at AVAST Software educate You about online security and how to protect your privacy on social media. Therefore we recommend you to advantage of a new security feature recently introduced by Twitter. With a growing […]
HTTP session hijacking, better known as “sidejacking”, poses a major threat to all internet users. This is due to the common use of Wi-Fi networks, which are inherently unsecure, but also because of the wide-spread misplaced trust in the sa…
金融機関を狙ったマルウェアの様相は常に変化しています。サイバー犯罪者は金融業界についてますます詳しくなり、攻撃も巧妙になる一方です。最近シマンテックは、「The World of Financial Trojans(金融機関を狙うトロイの木馬の状況)」(英語)と題するレポートを公開し、オンラインバンキングを狙うマルウェアの特徴や手口を紹介しました。マルウェアの作成者がどのような手口や機能を選択するかは、資金力や市場に関する知識によって異なるようです。
金融機関を狙うマルウェアでは、ほとんどの場合、感染経路として悪用ツールキットが好んで利用されます。過去数カ月の間シマンテックが監視を続けてきた悪用ツールキットは Gongda と呼ばれ、主として韓国を狙っています。この悪用ツールキットによる拡散が確認されている Castov というマルウェアには要注意です。韓国の特定の金融機関とその顧客を標的としていますが、Castov を使うサイバー犯罪者は、韓国のオンライン金融サービスの状況について調べ尽くしているからです。
図 1. 2013 年 5 月における Gongda の IPS 検出の分布図(分布の 98% が韓国)
この脅威の第 1 段階に当たるのが Downloader.Castov です。Delphi でコンパイルされており、ウイルス対策ソフトウェアを停止させる機能を持っています。ひとたびコンピュータに侵入すると、コマンド & コントロール(C&C)サーバーに感染を報告し、暗号化されたファイルをダウンロードします。このファイルが、第 2 段階に当たる Infostealer.Castov です。
Infostealer.Castov は正常な DLL のリスト(いずれも韓国のオンラインバンキングのソフトウェアとセキュリティに関係しています)で特定のオフセットを調べて OP コード(演算コード)命令があるかどうか確認し、その命令を書き換えます。このときインジェクトされるコードが、パスワードや口座情報、取引情報などと思われる文字列を調べます。見つかったデータは収集され、リモートサーバーに送信されます。
表 1. 狙われる DLL と、実行される処理
さらに Infostealer.Castov は、侵入先のコンピュータの NPKI ディレクトリ(%ProgramFiles%\NPKI)に保存されているデジタル証明書も収集します。これは韓国で広く利用されているデジタル証明書で、銀行やクレジットカード、保険などの金融サービスで汎用的に(個人、法人とも)発行されています。ユーザーごとに重複がなく、有効期間は 1 年間です。
スクリーンショット、パスワード、デジタル証明書を組み合わせれば、サイバー犯罪者はユーザーの金融口座にアクセスできるようになります。
図 2. 2013 年 1 月から 5 月にウイルス対策で検出された Castov の分布図
シマンテックは、Castov と Gongda への対策として以下の検出定義ファイルを提供しています。
ウイルス対策:
侵入防止シグネチャ:
保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently I wrote a blog post about a legitimate website spreading Sirefef malware. Then I continued with a deeper analysis and noticed that it uses an interesting cryptor. Malware authors spread many new variants of malware every day. These variants often look completely different at the first glance. That’s why regular updates of your antivirus […]
The financial malware landscape is constantly evolving, cybercriminals are becoming more knowledgeable about the financial sector, and attacks are becoming more sophisticated. We’ve recently released a report, “The World of Financial Trojan…
As the eCommerce industry continues to grow, online merchants need ways to differentiate themselves from the competition. In 2012 alone, global eCommerce sales topped $1 Trillion for the first time, and they’re showing no sign of slowing down. Aside from products and content, one of the best ways to ensure that your business stays ahead Read more…
We are excited to share news with you. Our social media team has added additional, professional support. Marcus Taveira, our Latino sunshine, joins Peter Bucek to help our community by responding to technical and customer care enquiries on Facebook and Twitter. Marcus responds in Portuguese and English. We are pleased to welcome Marcus to our […]
Part 3 – what you should look for when choosing a cloud security provider.
In the first two parts of this 3-part blog we highlighted the importance of choosing a financially secure and stable organisation; one that you can trust with your data an…