ネットバンク利用者狙う「WERDLOD」 - 感染後常駐しない「設定変更型」

従来のボットネットとは別の手口でオンラインバンキングの認証情報を窃取する「WERDLOD」が、2014年12月より徐々に拡大している。

警視庁が、オンラインバンキングにおいて不正送金を行うボットネット「VAWTRAK」のテイクダウンに向けた取り組みを発表したばかりだが、トレンドマイクロによれば、別の手法で認証情報を窃取する「WERDLOD」が、2014年12月より徐々に拡大しているという。2014年末から継続的に検出しており、同社クラウド基盤では2015年第1四半期に国内端末から約400件を検出した。

「WERDLOD」の最大の特徴は、マルウェア自身が直接認証情報を奪わない点。攻撃者が用意したプロクシサーバを経由させるようパソコンの設定を変更、プロクシサーバ上で中間者攻撃により情報を盗み出す。設定変更後は、不正プログラムの起動や常駐などを必要としない点もボットと異なる。

具体的には、不正な「proxy.pac」ファイルを参照させるなど設定を変更。主要ブラウザから特定のウェブサイトと通信をする際、攻撃者が用意したプロキシサーバ経由で通信させる。さらに不信感を持たれないよう、自己署名証明書によるSSL通信を行っていた。

（Security NEXT - 2015/04/13 ） ツイート

PR

関連記事

「りそな銀行」かたるフィッシング攻撃の報告が増加
2024年1Qのオンライン銀不正送金、被害額が大幅減
子会社元従業員、ネットバンク経由で3.5億円を横領 - ホッカンHD
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
2023年4Qの不正送金、減少するも高水準 - 平均被害額は大幅増
「サポート詐欺」の高齢者被害が大幅増 - ネット銀の接続促す手口も
2023年の不正アクセス認知件数、前年比2.9倍に急増
暗号資産交換業者への不正送金対策を強化 - 金融庁ら
2023年3Qの不正送金 - 被害額が約1.5倍に拡大
ネットバンク不正送金が前四半期の2倍超 - 過去最悪に