今年の 2 月、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)を悪用して日本のユーザーを狙うトロイの木馬 Infostealer.Bankeiya についてブログでお伝えしました。Bankeiya は日本のオンラインバンキングサイトに特有の機密情報を監視して盗み取ります。
そのブログから数カ月後、Infostealer.Bankeiya が活動を再開して日本でさらに多くのオンラインバンキング利用者に感染していることが確認されています。Bankeiya によって盗み取られた正確な金額は不明ですが、前回の攻撃の成功が今回の活動再開につながっているのは間違いありません。Adobe Flash Player の脆弱性を悪用するこのマルウェアの新しい亜種(Infostealer.Bankeiya.B)については、先週ブログでお伝えしたばかりです。
脆弱性は不要 このマルウェアを使っている攻撃者は、当面は活動をやめるつもりがないようで、今度は脆弱性を悪用することなく Bankeiya を拡散させ始めています。
5 月 30 日、日本のコンピュータ周辺機器メーカーのバッファロー社は、自社の Web サイトで一般に配布していた一部のドライバインストーラがマルウェアに感染していたことを公表しました。感染していたマルウェアは Infostealer.Bankeiya.B であることが確認されています。
バッファロー社のリリースによると、ファイルの侵害は日本時間の 2014 年 5 月 27 日の早朝に発生しました。同社はその後、同日 13:00 にダウンロードサイトを閉鎖しています。侵害されていた 10 個のファイルは、(重複を含めずに)540 件の IP アドレスから合計 856 回ダウンロードされています。
インストーラの改ざん方法は 2 通りあります。1 つ目の方法では、自己解凍形式の RAR ファイルsetup.exe が、インストール処理中に悪質な .dll ファイルを実行するように改ざんされていました。この .dll ファイルは別の .dll ファイルを投下するトロイの木馬であり、投下される .dll ファイルがリモートロケーションから Infostealer.Bankeiya.B をダウンロードしてインストールします。ファイルが改ざんされたことで、デジタル署名証明書は破損しています。
図 1. 改ざんされたファイルのデジタル署名証明書は破損している
2 つ目の方法では、バッファロー社のインストーラを含んだ Infostealr.Bankeiya.B が正規のインストーラであるかのように偽装されています。そのため、このインストーラを実行すると、正規のドライバ用の setup.exe ファイルとともにトロイの木馬のコンポーネントも投下されます。このコンポーネントが悪質な .dll ファイルを投下し、それによって Infostealer.Bankeiya.B のメインコンポーネントがダウンロードされます。
侵害されたインストーラを実行すると、中国語の WinRAR ユーザーインターフェースが表示されます(図 2)。
図 2. 侵害されたドライバインストーラを実行すると表示される中国語の WinRAR インターフェース
保護対策 シマンテックは、悪質なコンポーネントをすべて Infostealr.Bankeiya.B として検出します。
Bankeiya に感染している可能性がある場合は、ただちに最新のセキュリティソフトウェアを使ってコンピュータをスキャンするとともに、オンラインバンキングのパスワードを変更することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。