2015年1月9日 09:55
オンラインバンキングを狙うトロイの木馬の新種「Chthonic」
を悪用した、RTF形式のコードを含むDOCファイルが利用されており、メールに添付されたこのファイルを実行するとバックドアを作成。その後、msiexec.exeプロセスに悪質コードが埋め込まれ、多数の悪質モジュールがコンピューターにインストールされる。
これまでにKaspersky Labが確認したモジュールは、WebインジェクションやWebフォームの改ざん、コンピューターのシステム情報の収集、保存されたパスワードの搾取、キーボード入力の記録、リモートアクセスの有効化、Webカメラやマイクを使った動画撮影や録音を行うものなどがある。
日本では、銀行の正規のページに掲載されているセキュリティ警告メッセージを非表示にし、攻撃者が利用者の口座から不正に金銭取引を行うためのスクリプトを埋め込む例を確認している。
また、あるロシアの銀行の例では、感染したコンピューターのユーザーがオンラインバンキングのページを開くと、Chthonicによって埋め込まれたiframeにより、銀行の正規のページと同サイズのフィッシングページが表示されるようになっていた。これまでのところ、攻撃された金融機関がドメインやWebページの構造を改良したことで、ChthonicがWebインジェクション攻撃に使用するコードの大半は機能しなくなっている。