セキュリティ企業Trusteerの研究者によると、金融マルウェアの作成者は、より伝統的なフィッシングのような認証情報窃取の手法に戻って、新しいオンラインバンキングのセキュリティシステムを回避しようとしている。
今日のサイバー犯罪者が利用する金融系トロイの木馬プログラムのほとんどは、被害者のコンピュータ上で開始されたオンラインバンキングセッションをリアルタイムで改ざんする機能を備えています。これには、不正な取引をバックグラウンドで実行し、ブラウザに表示される口座残高や取引履歴を改ざんすることで、ユーザーからその取引を隠蔽する機能も含まれます。
その結果、銀行は顧客のウェブサイト上での行動を監視し、マルウェアの活動を示す可能性のある異常を検知するシステムの導入を開始しました。しかし、一部のマルウェア作成者は、検知を回避するために、認証情報を盗み、別のコンピュータからそれを使用するという、より伝統的な手法に回帰しているようです。
馴染みのあるトロイの木馬、新しい手法
Trusteer の研究者は最近、Tinba および Tilon 金融トロイの木馬プログラムに変更が加えられたことを検出しました。これらのプログラムは、被害者が実際のオンライン バンキング Web サイトにアクセスできないようにし、ログイン ページを不正なバージョンに置き換えるように設計されています。
「顧客が銀行のウェブサイトにアクセスすると、マルウェアは銀行のログインページに見せかけた完全に偽のウェブページを表示します」と、Trusteerの最高技術責任者(CTO)アミット・クライン氏は木曜日のブログ投稿で述べています。「顧客が偽のページにログイン情報を入力すると、マルウェアはオンラインバンキングサービスが現在利用できないというエラーメッセージを表示します。その間に、マルウェアは盗んだログイン情報を詐欺師に送信し、詐欺師は全く別のマシンを使って顧客になりすまして銀行にログインし、不正な取引を実行します。」
銀行がワンタイムパスワード(OTP)を必要とする多要素認証を使用している場合、マルウェアは偽のページでもこの情報を要求します。
このタイプの認証情報の盗難は従来のフィッシング攻撃に似ていますが、ブラウザのアドレスバーの URL が偽の Web サイトではなく実際の Web サイトの URL であるため、検出が困難です。
「ウェブバンキングのセッションにリアルタイムで取引を挿入するほど洗練されていないが、検出を逃れるという目的は達成できる」とクライン氏は述べた。
この「ページ全体の置き換え」機能は、Trusteerの研究者が最近発見・分析したTinbaバージョン2に搭載されています。このマルウェアはGoogle Chromeをサポートしており、偽のページに読み込まれた画像をローカルに保存することでネットワークトラフィックを制限しようとします。
すでに使用中
Trusteer の研究者によると、Tinba v2 はすでに大手金融機関や消費者向け Web サービスを標的とした攻撃に使用されているとのことです。
「銀行はオンラインチャネルにおいて常に2つの攻撃ベクトルに直面してきました」とクライン氏は述べています。「1つ目は認証情報の窃盗です。この種の攻撃には、マルウェア、ファーミング、フィッシングなど、様々な方法があります。2つ目の攻撃ベクトルは、マルウェアを介したセッションハイジャックです。これら2つのベクトルには、それぞれ異なるソリューションが必要です。」
銀行は両方の攻撃タイプに対する防御策を確実に講じるべきだとクライン氏は述べた。さもなければ、サイバー犯罪者はすぐに手口を変えてしまうだろう。「ドアに鍵をかけたまま窓を開けっぱなしにするわけにはいかないのです。」
