タッグを組むマルウェアとフィッシングサイト

2016年2月5日

WebサービスへのログインIDやパスワードを盗もうとするフィッシングサイトは、後を絶ちません。2016年1月に観測された、りそな銀行や三井住友銀行、Amazon等を騙ったフィッシングサイトについては、ニュースやSNSを通じて目にした方も多いのではないでしょうか。

図1

図1.りそな銀行を騙るフィッシングサイト

図2

図2.三井住友銀行を騙るフィッシングサイト

こういったフィッシングサイトへの誘導手法はスパムメールが一般的ですが、最近ではSMS経由で送られてくることもあるようです。

そんな中、興味深いスパムメールが届きました。宅配サービスの通知を装ったものです。

図3

図3.宅配サービスを装ったスパムメール

このメールには受領書と見せかけたhtmファイルが添付されており、中身はフィッシングサイトへ誘導するためのコードでした。

図4

図4.フィッシングサイトへ誘導するためのコード

フィッシングサイトへ誘導されると、「IDとパスワードが拒否されたため再度入力してください」とメッセージが表示されます。

図5

図5.フィッシングサイトのエラーメッセージ

[OK]をクリックすると、フィッシングサイトが表示されます。エラーが発生したため、再度IDとパスワードを求められるという自然な流れです。

図6

図6.Scriptによって誘導されたフィッシングサイト

このページ自体はフィッシングサイトですが、マルウェアをユーザー環境に生成するためのコードが存在しており、ここにアクセスするとマルウェアに感染してしまいます。

図7

図7.マルウェアをユーザー環境に生成するためのコード

このマルウェアはオンラインバンキングを狙ったトロイの木馬です。

Kaspersky Security Network統計情報で抽出したマルウェアを確認すると、この検知は2016年1月下旬から急増しています。

図8

図8.Kaspersky Security Networkの統計情報(タイムライン)

また統計の地理情報から、ロシアを筆頭に世界各地に感染が広がっていることがわかります。

図9

図9.Kaspersky Security Networkの統計情報(地理情報)

幸いにも、多くのセキュリティ製品はこのマルウェアをすでに検出できます。セキュリティ製品を導入し、正しく使用していれば感染することはないでしょう。しかし、設置されたマルウェアが新種のものだった場合はどうでしょうか。好奇心旺盛な人が「IDとパスワードさえ入れなければ無害なフィッシングサイト」だと高をくくってアクセスし、その裏でマルウェアに感染してしまう、という事態が現実的にあり得ます。

また、同一サイト上にYahoo、Outlook等、別のアカウントを狙ったフィッシングサイトも設置されており、マルウェアを生成するコードの存在も同様に確認しています。

図10

図10.Outlookを狙ったフィッシングサイト

図11

図11.Yahooを狙ったフィッシングサイト

今回紹介したマルウェアが設置されたフィッシングサイトは英語でしたが、冒頭で紹介した事例のように日本を標的とした攻撃が出てくるのも時間の問題でしょう。OSとセキュリティ製品を常に最新の状態に保ち、疑わしいWebサイトへ安易にアクセスしないようご留意ください。

カスペルスキー製品では、本件のマルウェアと誘導されるWebサイトを以下のように検知し、ブロックします。

  • Packed.Win32.Krap.hm
  • Trojan-Dropper.VBS.Agent.bp
図12

図12.当社製品でのマルウェア検知画面1

図13

図13.当社製品でのマルウェア検知画面2