悪名高いトロイの木馬Zeusが進化したChthonicは、これまでに15か国150以上の銀行と20の決済システムへの攻撃が判明しています。主な標的は、英国、スペイン、米国、ロシア、日本、イタリアの金融機関です。
[本リリースは、2014年12月18日にKaspersky Labが発表したプレスリリースの抄訳です]
Kaspersky Labのグローバル調査分析チーム(Global Research and Analysis Team:GReAT)※1は、オンラインバンキングシステムとその利用者に重大な被害を及ぼすマルウェア「Chthonic(ソニック)」を発見しました。Chthonicは悪名高いトロイの木馬「Zeus」が進化したもので、これまでに15か国150以上の銀行と20の決済システムへの攻撃が判明しています。主な標的は、英国、スペイン、米国、ロシア、日本、イタリアの金融機関です。
Chthonicは、感染したコンピューターからオンラインバンキングに必要な認証情報を盗み出すだけでなく、感染したコンピューターを遠隔操作して、不正に金銭取引を実行することもできます。主な攻撃はWebインジェクションを利用するもので、感染したコンピューターのブラウザーで金融機関の正規のページがロードされる際に、Chthonicのコードや画像を埋め込み、利用者が入力するログインIDやパスワード、ワンタイムパスワード、暗証番号などの認証情報を搾取します。
コンピューターの感染には、Microsoft Officeの脆弱性CVE-2014-1761を悪用した、RTF形式のコードを含むDOCファイルが利用され、メールに添付されたこのファイルを実行するとバックドアが作成されます。その後、msiexec.exeプロセスに悪質コードが埋め込まれ、多数の悪質モジュールがコンピューターにインストールされます。
これまでにKaspersky Labが確認したモジュールは、WebインジェクションやWebフォームの改ざん、コンピューターのシステム情報の収集、保存されたパスワードの搾取、キーボード入力の記録、リモートアクセスの有効化、Webカメラやマイクを使った動画撮影や録音を行うものです。
日本では、銀行の正規のページに掲載されているセキュリティ警告メッセージを非表示にし、攻撃者が利用者の口座から不正に金銭取引を行うためのスクリプトを埋め込む例を確認しています。また、あるロシアの銀行の例では、感染したコンピューターのユーザーがオンラインバンキングのページを開くと、Chthonicによって埋め込まれたiframeにより、銀行の正規のページと同サイズのフィッシングページが表示されるようになっていました。
Chthonicには、ほかのトロイの木馬といくつかの共通点があります。例えば、暗号化プログラムとダウンローダーはAndromedaボットと、暗号化方式はZeus AESやZeus V2といったトロイの木馬と、仮想マシンはZeusVMやKINSと同じものが使われています。
これまでのところ、攻撃された金融機関がドメインやWebページの構造を改良したことで、ChthonicがWebインジェクション攻撃に使用するコードの大半は機能しなくなっています。
Chthonicの調査に参加したKaspersky Labシニアマルウェアアナリスト ユーリ・ナメスニコフ(Yury Namestnikov)は、次のようにコメントしています。「Chthonicの発見は、トロイの木馬Zeusが現在も進化を続けていることを裏付けています。Zeus AESの暗号化、ZeusVMやKINSと同じ仮想マシン、Andromedaのダウンローダーを使用していながら、これまで以上に多くの金融機関とその利用者を高度な手法で攻撃している点で、ChthonicはZeusが次の段階に進化したものと言えます。今後、Zeusの新たな亜種がさらに発見されることは間違いなく、私たちは引き続きあらゆる脅威の追跡と分析を行い、常にサイバー犯罪者に対して先手を打っていきます」
Kaspersky Lab 製品は、Chthonicを「Trojan-Banker.Win32.Chthonic」として検知します。
■ 詳細についてはSecurelist.comをご覧ください。
※ 1 Global Research and Analysis Team(GReAT:グレート) GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。