国内ネットバンキングを狙うトロイの木馬、アクセス先URLやタイトルを監視

キヤノンITソリューションズは16日、ESETのセキュリティ情報を提供する「マルウェア情報局」で、日本のインターネットバンキング利用者を狙ったトロイの木馬「Win32/Brolux.A」を確認したとして、ネットバンキング利用者に注意を喚起した。

Win32/Brolux.Aは、イタリアのセキュリティ会社「Hacking Team」からの情報流出で知られるようになったFlashの脆弱性や、2014年11月に修正パッチが配布されたInternet Explorer(IE)の脆弱性を利用し、成人向けサイトを通じて広がっている。

今回確認された攻撃は、ユーザーが悪意のある成人向けサイトにアクセスすると、IEの脆弱性(CVE-2014-6332)、あるいはFlash Playerの脆弱性(CVE-2015-5119)を悪用するエクスプロイトコードが仕掛けられるもの。メインの攻撃コードは、設定ファイルを2つダウンロードさせる。1つ目は、日本のインターネットバンキングサイトのURLが88個記載されたファイル。2つ目は、Webブラウザでサイトを表示した時のタイトルが記載されているファイルだ。

Win32/Brolux.Aは、日本のインターネットバンキングサイトに、ユーザーがアクセスしたかを監視する。ユーザーがIEを使っていた場合は、アドレスバーから閲覧中のページURLを取得し、1つ目のファイルとURLを比較する。ユーザーがFirefoxやGoogle Chromeを使っていた場合は、Webサイトのタイトルを取得し、2つ目のファイルとタイトルを比較する。

リストと内容が一致した場合は、新規にIEを起動させ、金融庁と検察庁をよそおったフィッシングサイトへアクセスさせる。フィッシングサイトでは一部で中国語が使用されているほか、Win32/Brolux.AのMutex名にも中国語が使われている。なお、金融庁では、同庁を模倣したフィッシングサイトの存在を確認しており、正しいURL(http://www.fsa.go.jp/)を確認するよう呼びかけている。

キヤノンITソリューションズでは、広く知られたIE・Flash Playerの脆弱性が悪用されているため、「各ソフトウェアを最新版に保つことが必要不可欠」として注意を呼びかけるとともに、インターネットバンキングに見覚えのないコンテンツが表示された場合には、「安易に個人情報を入力しないことも効果的な対策」と案内している。