悪質なゲームをダウンロードさせる手口は特に目新しいものではありませんが、マルウェアの作成者はいよいよオンラインゲームユーザーを標的にしようという野望を露わにしています。ゲームを狙うトロイの木馬が、ゲームのログイン情報に加えてユーザーの銀行口座も狙うようになってきています。
Infostealer.Gampass などの脅威が、何年も前からオンラインゲームユーザーのログイン情報やデータを盗み出してユーザーを悩ませてきましたが、登場してからまだ比較的日の浅い Trojan.Grolker も、新しい攻撃経路を使っています。
シマンテックは Trojan.Grolker の活動を 2012 年中頃から確認しています。感染の大部分は韓国で確認されており、それより規模は小さいながらハンガリーでの感染も見られます。攻撃者が韓国を標的にしているのは、韓国でオンラインゲーム人気が高いためです。
図 1. Trojan.Grolker の標的となっている国
今月までは、Trojan.Grolker もゲームを狙う典型的なトロイの木馬だったようで、盗み出すゲーム関連の情報は先行するマルウェアと同様のものでした。古い Grolker サンプルのコードを分析したところ、ブラウザの URL を Grolker の狙うゲームサイトの URL と比較していたことがわかります。それが対象の URL であった場合、Grolker は悪質な JavaScript を Web ページにインジェクトしていました。
図 2. 古い Trojan.Grolker の URL チェック
Grolker の新しいサンプルも以前と同じコードを使って、ブラウザに読み込まれた URL を韓国のオンラインバンキングサイトの URL と比較します。
図 3. オンラインバンキングサイトの URL を検索する新しい Trojan.Grolker
Grolker は、以前のサンプルと同様に、攻撃者が狙う URL を含むページに悪質な JavaScript をインジェクトします。韓国ではあらゆるオンラインバンキングサイトが標的となっているため、韓国のユーザーは大きく被害を受けています。
図 4. Grolker がオンラインバンキングサイトに悪質な JavaScript をインジェクト
正常な Web ページにインジェクトされる悪質な JavaScript は、トロイの木馬のバイナリファイルにハードコード化されています。Grolker は別個の設定ファイルを使わないので、その点がオンラインバンキングを狙う他のトロイの木馬(Trojan.Zbot など)とは異なるところです。
Grolker はブラウザヘルパーオブジェクト(BHO)を使って、コンポーネントを Internet Explorer のプロセスにロードします。オンラインバンキングを狙う他のトロイの木馬はコンポーネントをブラウザのプロセスに直接インジェクトし、ネットワーク機能をフックして Web トラフィックを傍受するのが一般的であり、これも Grolker が他のトロイの木馬と異なる点です。このように、Trojan.Grolker はオンラインバンキングを狙うトロイの木馬よりも、ゲームを狙う従来型のトロイの木馬に似ています。
Trojan.Grolker の攻撃から保護するために、最新のコンシューマ向けのノートン製品やシマンテックのエンタープライズ向けソリューションを使用することをお勧めします。シマンテックは、この脅威を Trojan.Grolker として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。