日本のネットバンキング利用者を狙うマルウェア「Rovnix」が活発化

January 28, 2016 12:30

by 『Security Affairs』

「Rovnix」は、日本の銀行十数行のネットバンキング利用者を狙った活動的なマルウェアだ。

セキュリティ研究開発チーム「IBM X-Force」のマルウェア専門家が、日本の銀行顧客を標的にしたRovnixによる新たな問題に気づいた。この新たな脅威はロシアからのもので、とても洗練されている。IBM X-Forceによると、Rovnixは大部分のアンチウィルス手法を回避することができるという。

Brolux Trojan、Shifu、Tsukuba、Neverquestは、日本の銀行顧客を狙った悪意のあるコードだが、Rovnixは日本の金融業界を狙うこれらの一連の脅威の中でも最新のものだ。

「Rovnixを操作するサイバー犯罪集団が、日本で活発な感染活動を新たに開始したことを研究者らが発見した」とIBM X-Forceは述べている。

Rovnixは金融業界にとって深刻な脅威であると考えられており、世界中で最も流行しているマルウェアの一つであることをIBM X-Forceのデータが示している。

攻撃者は高品質で巧妙な日本語のメールを利用している。このメールにはZIPファイルが添付されているが、これには偽の請求書と、犯罪アンダーグラウンドで非常に人気のあるクライムウェアであるRovnixが含まれている。

このZIPファイルは、ロシアのドメイン「.ru」から来ているようだ。被害者が請求書を開くことにより、マルウェアが実行される。この悪意のあるコードは、日本の銀行14行が使用するログインフォームにJavaScriptを注入することができる。ユーザーが自分の銀行口座にアクセスしようとする際に、攻撃者はこのコードを使用して中間者攻撃を開始する。そしてスクリプトは二要素認証も突破するようになっている。

Rovnixが使用する注入メカニズムは、アンダーグラウンドのサイバー犯罪者によって販売されている商品である。これを販売するのは、標的である銀行のWebページのルック＆フィールを完璧に模倣するインジェクションを作成することに特化した開発者たちだ。彼らは、ターゲットの認証スキームにおけるイベントの流れまでも模倣する。このWebインジェクションは、感染したユーザーがブラウザーから銀行のWebページを閲覧する際に、ソーシャルエンジニアリングコンテンツの表示を可能にするものだ。どの銀行でも、Rovnixが実行するインジェクションによって元々のページの大部分を変更されてしまう。これは詐欺取引を確実なものにするために、被害者が2つ目のパスワードやトークンを入力するように仕向ける設計になっている、とIBMは説明している。

IBM X-Force は、RovnixがモバイルデバイスにAndroidアプリをダウンロードさせる指示を被害者に出しているケースも発見している。この悪意のあるアプリには 、SMS乗っ取りのためのRovnixコンポーネントが含まれている。SMSを乗っ取ることで、銀行から送られてくる取引認証コードを含むSMS受信メッセージを盗み取るのだ。

日本の金融業界が攻撃下にあり、今後も多数の類似攻撃の被害を受けると専門家は考えている。2015年の夏から、世界の最も洗練された銀行マルウェアが日本の銀行を攻撃している事が確認され始めた。Tsukubaから高度にモジュール化されたShifu、そして今回のRovnixに至るまで、日本の金融機関が攻撃の的となっている事は明白だ。今や、日本や東ヨーロッパは、収益性の高いターゲットとしてサイバー犯罪者に認識されている。



翻訳：編集部

原文：Rovnix malware is threatening Japanese bank customers

※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです