Banclip ? ShadesRat ????????????
1 月 23 日、CERT Polska はブログを投稿し、ポーランドのユーザーを標的として最小限の労力でオンラインバンキングを狙うマルウェアについて報告しました。同ブログでは、このマルウェアの一部のサンプルで使われていたハッシュも紹介されています。シマンテックはこれを受けて、今回のマルウェアの新しい名前を Trojan.Banclip として用意しました。シマンテックの遠隔測定結果を見ると、このマルウェアの拡散状況と、攻撃者のそれ以外の目的について詳しく理解することができます。これはまた、マルウェアスキャンサービスに関する誤解を解くきっかけにもなります。
関連する活動
2014 年 1 月 14 日、シマンテックは、Trojan.Banclip の亜種がポーランドの Web サイト zeus[削除済み].cba.pl からダウンロードされていることを記録しました。その後、少なくとも 6 つのマルウェアサンプルがこの Web サイトからダウンロードされています。次のグラフは、拡散されたマルウェアの 1 日当たりの検出数です。
図. zeus[削除済み].cba.pl による 1 日当たりの感染数
確認されている 6 つのサンプルには、Trojan.Banclip の他の亜種がいくつかと、W32.Shadresrat(別名 BlackShades)のコピーもありました。W32.Shadresrat は「販売されている」RAT であり、攻撃者がこれを使えば被害者のコンピュータを完全に制御できるようになります。zeus-[削除済み].cba.pl からダウンロードされた W32.Shadesrat のサンプルは、コマンド & コントロールサーバーとしても zeus-[削除済み].cba.pl を使っていました。このような二重の使い方から、マルウェアを拡散している犯人と、マルウェアを使って被害者のコンピュータを攻撃している犯人とは同一だと推測できます。もう一方のマルウェア Trojan.Banclip も、同じ攻撃者によって拡散および利用されていると思われます。これは、両方のマルウェアに狙われている標的が主にポーランドのユーザーであることからも見て取れます。
悪質なサーバーからダウンロードされることが確認されているのは、以下のサンプルです。
- 0bec288addbe72c20fd442b38dab4867
- 2b0198b52012adce1ad5c5a44ee1c180
- 387fb206eb014525b9a805fbba4b2318
- 3bf9e6fd9c20e06d0769c7a84ae21202
- 6712b0888415fb432270f4d4dbec47a3
- f8987a4dd66edf76f1bbf41578c35a05
- f8dd3554e53160fec476bb8016ea12a9
検出
CERT Polska は、このマルウェアの検出率が低いようだとブログで指摘しています。これは VirusTotal のスキャン結果に基づく見解ですが、テストに VirusTotal を使うのは理解できるものの、その結果は見かけほど明確ではないと思われます。
今回の場合、Trojan.Banclip ファイルが検出されていたのは間違いなく、シマンテック製品をお使いのお客様は保護されています。上のグラフに示されている期間に、この脅威は、シマンテックの評価技術により Suspicious.Cloud.2 または Suspicious.Cloud.9 という検出名で検出されていました。評価技術は、ファイルのダウンロード元の Web サイトの評価など、さまざまな変数を使ってマルウェアを検出するため、ファイルをただスキャンするだけで検出結果を再現できるわけではありません。
シマンテック製品には、実行時やネットワークへの接続時にマルウェアを検出する、その他の検出技術も搭載されています。それらすべてがユーザーを保護するために役立っていますが、そういったシステムも単純なスキャン結果には反映されません。十分に保護するためには、このような高度な機能を有効にしておくことが重要です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。