「Citadel」が活動を再開か - DBD攻撃をJPCERT/CCが観測

オンラインバンキングの情報を盗み出すマルウェア「Citadel」の活動が再び観測された。規模は大きくないが、ドライブバイダウンロード攻撃で感染を試みているという。

JPCERTコーディネーションセンターが明らかにしたもの。「Citadel」はオンラインバンキング利用者から口座情報を窃取するマルウェア。「Zeus」を元に開発された。ワールドワイドで500万台以上に感染し、90カ国以上において5億ドル以上の被害をもたらしている。2013年には大規模な掃討作戦なども展開されている。

国内においても数万台規模に及ぶ感染が確認されるなど被害が報告されていたが、その後活動は沈静化。同センターにおいても2014年上半期以降、目立った活動を観測していなかった。

しかし、2015年11月末に規模は小さいながらもあらたな亜種を感染させるドライブバイダウンロード攻撃を確認。あらたに確認されたバージョンでは、暗号化処理の変更や構造の変化、セキュリティ専門家が作成に関わったと見せかけるダイアログ表示を削除するなど、一部変化が見られたという。

こうした変化を受け、同センターでは「Citadel」により暗号化されたデータを復号するため、Citadel 101の内部にハードコードされた暗号鍵を取得する機能などを備えた新バージョンの「Citadel Decryptor」を用意。GitHubで公開している。

（Security NEXT - 2016/01/06 ） ツイート

PR

関連記事

2015年3Qのバンキングトロジャン、前期から半減
「CODE BLUE」が論文7件をあらたに採択 - 専門家14名が登壇予定
ネットバンクの認証盗むマルウェアの検知数が1カ月で約3倍に
猛威振るう「Citadel」、ネットバンク不正引き出し拡大でISPへ啓発要請 - 総務省
オンラインバンキングの口座情報盗み出す「Citadel」 - 国内で2万台以上が感染
金融機関狙うフィッシング攻撃に変化 - 詐欺サイトからマルウェア利用にシフトか
2012年の国内フィッシングサイト、前年比4倍 - 悪用ブランドは頭打ち
2012年第4四半期は901件のDDoS攻撃へ対応 - IIJレポート
充実サポートで勢力伸ばすZeus亜種「Citadel」 - 国内ユーザーの被害も