セキュリティ企業Trusteerの研究者によると、金融マルウェアRamnitの新しい亜種は、ローカルWebブラウザインジェクションを使用してSteamアカウントのログイン認証情報を盗んでいるという。
Ramnit は 2010 年に初めて発見されたコンピュータ ワームで、ローカル コンピュータ上の実行可能ファイル、HTML ファイル、Microsoft Office ファイルに感染して拡散します。
このマルウェアは、ローカルに保存されているブラウザの Cookie や FTP (ファイル転送プロトコル) の認証情報を盗むことができるだけでなく、ブラウザのプロセスをフックして Web フォームを変更し、Web ページに不正なコードを挿入する、いわゆるマン・イン・ザ・ブラウザ (MitB) 攻撃という手法も使用します。
MitB 機能は、金融マルウェアによって、オンライン バンキング ユーザーを騙して個人情報や金融情報、オンライン バンキングの認証情報を漏洩させるためによく使用されます。
IBM による買収手続き中の Trusteer 社のセキュリティ研究者は最近、コンピューターゲーム向け最大規模のデジタル配信およびオンラインマルチプレイヤープラットフォームの 1 つである Steam のユーザーをターゲットとする新しい Ramnit の亜種を特定しました。
Trusteerの詐欺防止マネージャー、エテイ・マオール氏によると、Ramnit攻撃はログインフォームのフィールドに使用されるクライアント側の暗号化を回避し、サーバー上で実行される可能性のある攻撃検出システムを破ることができるという。
サイバー犯罪者はこれまでも、キーロギングマルウェアやフィッシング攻撃を用いてSteamアカウントを標的にしてきました。しかし、RamnitはWebインジェクションなどのより高度な手法を用いて、ユーザーが感染したコンピュータからSteamコミュニティサイトにサインインした際にログイン認証情報を盗みます。
Maor氏によると、ユーザーがSteamコミュニティのログインページにアクセスし、ユーザー名とパスワードを入力すると、フォームはサイトの公開鍵を使用して暗号化されます。これを回避するために、Ramnitはフォームを改変し、パスワードを平文で取得できるようにします。
ログイン ページで何も変化がないため、ユーザーは何か問題があることに気付くことができません。
ユーザーが慣れ親しんだ画面を変更するHTMLインジェクションとは異なり、このインジェクションは画面をそのまま維持すると、マオール氏は月曜日にメールで述べた。ただし、バックグラウンドでは、暗号化された「パスワード」フィールドが暗号化されていないフィールドに置き換えられる。
ユーザーがフォームに入力して送信すると、マルウェアはリクエストを傍受し、暗号化されていないフィールドからデータを読み取り、Steamウェブサーバーにリクエストを送信する前にそのフィールドを削除します。Maor氏によると、これにより、マルウェアの挿入を検出するために異常なフォーム要素をスキャンするセキュリティソフトウェアから攻撃を隠蔽できるとのことです。
例えば、バンキングマルウェアによって改ざんされたログインフォームに、本来存在するはずのないクレジットカード番号フィールドが含まれていた場合、サーバー運営者はユーザーがMitB攻撃の被害者であると判断する可能性があります。しかし、今回のSteam攻撃では、Ramnitによってサーバーが挿入されたフィールドを決して認識できないようにしています。
マルウェアはHTMLインジェクションではなくキーロギングを使ってデータを盗むこともできるが、キーロギングファイル内の認証情報とその他の情報を分離するにはかなりの時間がかかるだろうとマオール氏は述べた。「キーロギングファイル自体は、構造化された形式でデータ要素を提供するフォームとは異なり、扱いが容易ではありません。時間と労力を節約するためだけのものです。」
これまでRamnitは主に銀行を標的としてきましたが、Trusteerの研究者たちは、銀行以外の機関、組織、サービスの顧客を標的とする攻撃にも使用されていることを既に確認していると、マオール氏は述べています。「攻撃者が何を達成したいかによって状況は変わります。Ramnitは、攻撃者の意図に関わらず、複数の標的に使用できる高度なツールです。」
