Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

韓国で流行した新手の不正送金マルウェアが国内上陸 - 不正送金被害も

日本サイバー犯罪対策センター(JC3)は、オンラインバンキングへアクセスした際に、中継サーバを利用して認証情報を盗むマルウェア「KRBanker」による不正送金が発生しているとして注意を呼びかけた。

20161005_jc_001.jpg
JC3による注意喚起

同マルウェアは、別名「Blackmoon」としても知られるマルウェア。オンラインバンキングへアクセスする際に、気が付かれないよう中継サーバを経由させることで、中継サーバ上で情報を盗みだす「ファーミング」を行っていた。当初は「hostsファイル」の改ざんによるDNSの書き換えを行っていたが、最近では「プロキシ自動設定(PAC)」を活用している。

少なくとも2014年初頭より活動を開始していると見られるが、動きが活発になったのは2016年に入ってから。これまではおもに韓国の金融機関を対象に活動を展開している。

Fortinetの調査では、4月の時点で感染件数は11万件にのぼり、そのうち10万9000弱が韓国での感染だった。エクスプロイトキット「KaiXin EK」やアドウェア経由で感染が広がったと見られている。

またPalo Alto Networksによれば、2015年末から5月までの半年で2000弱の亜種を捕捉。中継に用いたファーミング用のIPアドレスを200ほど確認した。「KRBanker」には中国のSNSサイトへアクセスする機能を備えており、そこからIPアドレスを入手している。

20161005_tm_001.jpg
国内における検知状況(グラフ:トレンドマイクロ)

国内で目立った活動が確認されたのは7月末。トレンドマイクロによると、8月中旬の時点で検知数は300件にのぼり、改ざんされた正規サイト経由で拡散しているという。

国内8金融機関のほか、4種類の検索エンジンや社団法人のドメインがファーミングの対象となっており、検索エンジンの利用時には、「金融監督庁」などと称してポップアップを表示。注意喚起に見せかけてファーミング対象のオンラインバンキングへ誘導し、アカウント情報を入力させようとしていた。

中継サーバとHTTPにより通信を行うため暗号化通信が行われず、注意を払っていれば利用者が異常に気が付く可能性もあるが、偽サイトへ誘導するフィッシングと異なり、アドレスバーにはオンラインバンキングの正規URLが表示されるため、見過ごしてしまうおそれもある。

すでに警察庁では同マルウェアを原因とした不正送金を確認しており、セキュリティベンダーやJC3では注意を呼びかけている。

(Security NEXT - 2016/10/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

2016年4Qの不正送金、法人個人ともに増加
「RIG EK」による感染被害が急増 - 警察が約300の踏み台サイトに指導
法人の不正送金被害、件数が大幅減となるも金額は倍増
「ランサムウェア」の認知度、3割満たず - マカフィー調査
ネットバンキング狙うマルウェア、前四半期比4倍に - 過去最悪
「写真送付」などを偽うマルウェアメールに注意 - 火曜日に増加傾向
2016年上半期はメール添付ファイルによる攻撃が大幅増 - DBD攻撃は縮小
2016年上半期の不正送金、件数増となるも被害額は大幅減
個人の不正送金被害、件数と金額のいずれも半減
2月に「Bedep」感染を多数観測 - 「Angler EK」で拡散か