is702

ランサムウェアがオンライン銀行詐欺ツール経由で侵入 ― トレンドマイクロ

2013/10/24

トレンドマイクロは10月23日、同社ブログで、「ランサムウェア『CryptoLocker』、オンライン銀行詐欺ツール『ZBOT』を経てコンピュータに侵入」と題する記事を公開しました。最新版の「身代金要求型不正プログラム(ランサムウェア)」とされる『CryptoLocker』とオンライン銀行詐欺ツール『ZBOT』の結びつきが明らかにされています。

ランサムウェア『CryptoLocker』は、特定のファイルを暗号化し、その後 300米ドル(または 300ユーロ)の復号化ツールをユーザに示すことにより、代金の支払いを強いることでよく知られています。

記事によると、あるスパムメール活動が『CryptoLocker』の感染に関与していることをトレンドラボが確認しています。大量に送信されたメッセージには、「TROJ_UPATRE」ファミリの「TROJ_UPATRE.VNA」として検出される不正なファイルが添付されていました。

この不正ファイルはダウンロード機能を備えており、実行されると、他のファイルをダウンロードし、“cjkienn.exe” として保存します。これはオンライン銀行詐欺ツール『ZBOT』の亜種で「TSPY_ZBOT.VNA」として検出されます。そして「TSPY_ZBOT.VNA」は、「TROJ_CRILOCK.NS」として検出される『CryptoLocker』をダウンロードするものとなっていました。

なお、従来の『CryptoLocker』のみにおける身代金要求メッセージは、暗号化で用いられる方式に「RSA-2048」を指定しますが、ラボの解析では、新たに見つかった不正プログラムは、AES暗号とRSA暗号を併せた方法を利用していたとのことです。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ