?????????? Castov
金融機関を狙ったマルウェアの様相は常に変化しています。サイバー犯罪者は金融業界についてますます詳しくなり、攻撃も巧妙になる一方です。最近シマンテックは、「The World of Financial Trojans(金融機関を狙うトロイの木馬の状況)」(英語)と題するレポートを公開し、オンラインバンキングを狙うマルウェアの特徴や手口を紹介しました。マルウェアの作成者がどのような手口や機能を選択するかは、資金力や市場に関する知識によって異なるようです。
金融機関を狙うマルウェアでは、ほとんどの場合、感染経路として悪用ツールキットが好んで利用されます。過去数カ月の間シマンテックが監視を続けてきた悪用ツールキットは Gongda と呼ばれ、主として韓国を狙っています。この悪用ツールキットによる拡散が確認されている Castov というマルウェアには要注意です。韓国の特定の金融機関とその顧客を標的としていますが、Castov を使うサイバー犯罪者は、韓国のオンライン金融サービスの状況について調べ尽くしているからです。
図 1. 2013 年 5 月における Gongda の IPS 検出の分布図(分布の 98% が韓国)
この脅威の第 1 段階に当たるのが Downloader.Castov です。Delphi でコンパイルされており、ウイルス対策ソフトウェアを停止させる機能を持っています。ひとたびコンピュータに侵入すると、コマンド & コントロール(C&C)サーバーに感染を報告し、暗号化されたファイルをダウンロードします。このファイルが、第 2 段階に当たる Infostealer.Castov です。
Infostealer.Castov は正常な DLL のリスト(いずれも韓国のオンラインバンキングのソフトウェアとセキュリティに関係しています)で特定のオフセットを調べて OP コード(演算コード)命令があるかどうか確認し、その命令を書き換えます。このときインジェクトされるコードが、パスワードや口座情報、取引情報などと思われる文字列を調べます。見つかったデータは収集され、リモートサーバーに送信されます。
表 1. 狙われる DLL と、実行される処理
さらに Infostealer.Castov は、侵入先のコンピュータの NPKI ディレクトリ(%ProgramFiles%\NPKI)に保存されているデジタル証明書も収集します。これは韓国で広く利用されているデジタル証明書で、銀行やクレジットカード、保険などの金融サービスで汎用的に(個人、法人とも)発行されています。ユーザーごとに重複がなく、有効期間は 1 年間です。
スクリーンショット、パスワード、デジタル証明書を組み合わせれば、サイバー犯罪者はユーザーの金融口座にアクセスできるようになります。
図 2. 2013 年 1 月から 5 月にウイルス対策で検出された Castov の分布図
シマンテックは、Castov と Gongda への対策として以下の検出定義ファイルを提供しています。
ウイルス対策:
侵入防止シグネチャ:
保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。