MessageLabs、ブラジル系銀行と New York Times になりすました攻撃を確認

メッセージラボジャパンは2010年3月5日、Symantec の SaaS 事業グループである MessageLabs が2月後半に2つの新しい攻撃を確認した、と発表した。

ひとつは、ブラジル系銀行を狙った攻撃、もうひとつは、New York Times を狙った攻撃。

ブラジル系銀行を狙った攻撃は、ブラジル系銀行を騙り、オンラインバンキングユーザーの情報を盗み出すもの。ブラデスコ銀行とシクレディ銀行がターゲットとなる。

MessageLabs Intelligence では2月中旬に、中南米最大の民間銀行であるブラデスコ銀行のオンラインバンキングユーザーを狙ったターゲットアタックを確認、さらに2月20日にシクレディ銀行に対する同様の攻撃を確認した。

今回攻撃に利用されたマルウェアは、ZIP ファイルでメールに添付して送りつけられていた。どちらの攻撃も、各銀行の公式な連絡を装い、異なるファイルと件名、送り主の情報が使われていたが、同じ文面を利用し、銀行の名前だけを入れ替えていた。

添付された実行ファイルサンプルは、Visual Basic と Inno Setup を使い、実行される仕組み。ファイルを実行すると、ブラデスコ銀行とシクレディ銀行のオフィシャルロゴと商標が表示され、受信者に正規のものだと思い込み、アプリケーションをインストールしてしまうよう仕込まれている。

インストールが完了すると、「All Programs」フォルダにエントリが作成され、デスクトップ アイコンが表示される。このアイコンも、オフィシャルロゴそっくりに作成されている。

ユーザーが指示に従いアプリケーションを実行すると、ウインドウが開き、銀行のオンラインバンキングサイトとまったく同じ画面が現れるが、背後で銀行を狙ったトロイの木馬が発動し、ユーザーのログイン情報を収集、サイバー犯罪者に送っている。

New York Times を狙った攻撃は、同様に New York Times になりすまして、読者の個人情報を盗み出すもの。これは MessageLabs Intelligence が2月24日に確認した。

攻撃された6つのドメインはすべてイギリスの企業・組織のもので、公共部門、法律事務所、3つの化学薬品会社、オンラインギャンブル会社のドメイン。メールは、ギリシアを発信源としているようだが、ボットネットは関与していないそうだ。

New York Times を狙った攻撃

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール