セキュリティ研究家らが、顕著な特徴を持つ2種類のトロイの木馬について警鐘を鳴らした。一方はワンタイムパスワードを盗み、もう一方はルートキットを隠れ蓑とするものだという。
それぞれ別個に確認されたこれらの悪質なプログラムの存在は、複数のセキュリティ企業によって今週発表された。どちらもハッカーが考案した新しいタイプのトロイの木馬で、無害なソフトウェアに見えるよう偽装されている。
「Spy-Agent」および「PWS」という名称でも知られている「MetaFisher」の攻撃対象となったのは、英国やドイツ、スペインの銀行だ。このトロイの木馬は、コンピュータに感染したあと、ユーザーが銀行の公式サイトを閲覧するのを待ち受けて、悪質なHTMLを特定のフィールドに挿入する。こうして、ユーザーがそのフィールドに入力するワンタイムの個人認証番号(PIN)や決済番号を盗むことができるのである。
その結果、これらのPINや決済番号は同ウェブサイトのログインに使用されなかったことになり、有効な状態が保たれると、セキュリティ企業iDefenseのセキュリティディレクターRamses Martinez氏は説明する。同氏によれば、侵入者はこうしたデータを自分で利用するために保管しておくか、他者に売却しているのだという。
Symantecの勧告には、攻撃者はMicrosoftの「Internet Explorer」に存在する「Windows Meta File」の脆弱性を悪用して、コンピュータにこのトロイの木馬を埋め込んでいると記されている。攻撃を実現するためには、対象となるユーザーに悪質なウェブサイトを閲覧させて、システムにトロイの木馬を感染させる必要がある。攻撃者は、電子メールを利用して、ユーザーをそうしたサイトに誘い込むこともある。また、このトロイの木馬と同時に、ユーザーのキーボード操作を密かに記録するキーロガーが同じコンピュータにインストールされる。
ルートキットの中に潜む形で広まっているもう一方のトロイの木馬を発見したのは、Sana Labsだ。Sanaは、この悪質なソフトウェアは「Alcra」というワームを介して拡散していると話す。Alcraワームに感染したWindows PCは、悪質なウェブサイトへ接続されて、同プログラムをダウンロードすることになるという。このトロイの木馬では、感染マシンが以前使用したパスワードやユーザーネームを解析することが可能で、ユーザーのキーストロークを追跡する必要がないと、Sanaは説明している。同プログラムはすでに、7000箇所に保管されているログファイルから3万7000件ものユーザーネームおよびパスワードを盗んでおり、その大半がソーシャルネットワークサイトで利用されているものだそうだ。
この悪質なソフトウェアは、PCにインストールされたあとに、トロイの木馬が収集したユーザーネームおよびパスワードを蓄積しているロシアのウェブサーバと通信を始めると言われている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ