銀行詐欺ツール「WERDLOD」
非常に危ないツールなので
みなさんにシェアします。
Internet Newsより引用
トレンドマイクロ株式会社は10日、
日本を標的とする新たなオンライン
銀行詐欺ツール「WERDLOD」の
手口を解説し、ユーザーに注意を呼び掛けた。
日本のオンライン銀行利用者を
標的とした詐欺ツールとしては、
これまでにも「ZBOT」「AIBATOOK」
「VAWTRAK」と いったツールが
確認されてきたが、2014年12月に
新たなツールとして「WERDLOD」が登場した。
トレンドマイクロの統計によると、
WERDLOD は2015年1月~3月に
日本国内で約400件の検出が確認されている。
WERDLODは、感染時にプロキシー設定の
変更と不正なルート証明書のインストールを
行うことで、ネットバンキングで
使用する認証情報を盗み取る。
このため、感染後は不正プログラムの
起動や常駐を必要としない点が特徴となっている。
感染経路としては、大手通販サービスの
請求書を偽装したメールにより、
添付されたRTF形式のファイルを
開かせようとする。
これをダブルクリックしたユーザーが、WERDLODに感染する。
感染すると、攻撃者が用意した不正な
「proxy.pac」ファイルを参照するよう、
レジストリが変更される。これにより、
インター ネット接続を行う際に
このファイルに記載されている
プロキシー設定が適用されるようになる。
設定ファイルは難読化されているが、
解読すると転送対象として
26のJPドメイン名が列挙されており、
複数のネットバンキング関連ドメイン名が含まれている。
このことからも、明確に日本を標的と
していることが見て取 れるとしている。
さらに、WERDLODは不正な
ルート証明書をインストールする。
スポンサーリンク
単にプロキシーを経由させるだけでは、
ネットバンキングの HTTPSサイトに
アクセスした際にエラーが表示されるため、
これを回避するために自前の
証明書をPCやブラウザーの「信頼するルート証明書リスト」
に追 加する。通常の環境では、
証明書を追加する際には警告
ダイアログが表示されるが、
WERDLODはこの警告ダイアログが
描画された瞬間に「はい」ボタンを
自動的に押し、ユーザーに気付かれないように
インストールを完了させる機能も持っているという。
こうして、WERDLODに感染している端末で
ユーザーがネットバンキングのサイトに
アクセスすると、攻撃者が用意した不正な
プロキ シーサーバーを経由させられ、
認証情報などが盗み取られてしまう。
不正なルート証明書もインストールされているため、
警告も表示されない。
ただし、EV SSL証明書を利用している場合には、
通常とは違いブラウザーの
アドレスバーが緑色にならないため、
これによってユーザーが異常に気付くきっかけにはなり 得るとしている。
WERDLODの攻撃シナリオ
トレンドマイクロでは、
ユーザー側の防御策として、
メールの添付ファイルを安易に実
行しないことや、普段からアドレスバーが
緑になる かどうかに気を配っておき
普段は緑色のサイトが
そうなっていない時は異常を疑うと
いったことを挙げている。
感染した場合には、不正プログラム本体を
削除 するだけでなく、
プロキシーの自動構成(proxy.pac)の
設定を削除するか感染前の状態に戻すとともに、
不正なルート証明書をWindowsと
Firefoxの「信頼済みルート証明書ストア」
から削除する必要がある。
また、過去に見られた類似の手口では、
海外のネットバンキングにおいてSMSメッセージで
送信されるワンタイムパスワードを
盗む目的 の偽モバイルアプリが確認されている。
トレンドマイクロでは、
日本のネットバンキングではSMSメッセージによる
認証はあまり使用されていないが、
今後は なんらかの偽モバイルアプリが
確認されても不思議ではないとして、
注意を呼び掛けている。
引用ここまで
もはやワンタイム
パスワードでも
安全性は守れなく
なってきています。
十分の注意を
スポンサーリンク
