2012年4月13日金曜日

Facebook: Carberp活動の新しいトレンド

  • このエントリーをはてなブックマークに追加
今月、私たちはWin32/Carberpと呼ばれるトロイの木馬の活動に関するいくつかの新しい事実を発見した。

私たちは既にCarberpに関するリアルタイムの書き込みに多くの時間を費やしているが、未だに興味深い情報が明らかになっている。最近、私たちの注目を集めた最も興味深い情報は、Facebookのユーザーからお金を盗んでいるという情報である。以前は、ソーシャルネットワークをターゲットとしたCarberp活動は発見されていなかった。ここで使用されている金融詐欺のスキームは単純で、被害者がFacebookにログインする際、偽りのFacebookのページが現れ、「あなたのFacebookアカウントが一時的にロックされました!」とメッセージが表示される。


図1: Facebookロックアウト

このメッセージは被害者に「20ユーロUkash領収書番号」(Ukash.comで購入可能)の詳細を入力するように誘導し、自分のFacebookのメインアカウントの残高に追加されると保証する。被害者が情報を入力すると、情報が無効であると表示され、有効なUkash 領収書番号を入力するよう要求される。

図2: e-Cashの要求

Carberpのこのサンプルは、bootkitコードが含まれていないが、ユーザーモードでは注入されたモジュールがbootkitが含まれている最新のサンプルと同様に見える。(http://blog.eset.com/2011/12/04/carberp-blackhole-growing-fraud-incidents)この現象の最も興味深い詳細は、Carberpトロイの木馬の新しいバージョンや修正ではなく、単に特別なコンフィギュアレーション・ファイルが偽りのFacebookページの完全なhtmlコードを含むことである。複合化されたコンフィギュアレーション・ファイルにはFacebookのウェブインジェクション・ルールがたった一つしか含まれていない。(*//*facebook.com/*)

図3: 偽りのFacebook

私たちのデータによると、Carberpの主な活動は、ロシアと旧ソ連共和国の領域に限れれており、この活動は主にロシアの銀行とRBS(リモートバンキングシステム)からお金を盗むとっいった金融詐欺をターゲットとしている。図4はC&Cパネルからオンラインバンキングシステムにウェブインジュエクションを導入するためにフレッシュファイルと共にロードされたディレクトリを示している。

図4: ウェブインジェクション

今まで、私たちはソーシャルネットワークのユーザーを対象にしたCarberpの活動を見ていなかったが、最新のコンフィギュアレーション・ファイルに変更を導入することによって容易にこの機能を追加することが可能である。Carberpは多数のシステム機能を途中で中断し、詐欺機能はコンフィギュアレーション・ファイルから、もしくは特別なプラグインから実行されたウェブインジェクションのルールのみに依存している。この様なマルウェア・ファミリーが既存している国は、ロシア連邦国だけではない。現在までに、どうやら、ロシアの領域以外を基にした以下の銀行関連に詐欺をを試みた例がある。Bank of America, CityBank, HSBC, CHASE, Nordea。しかし、以前と同様にロシア連邦がCarberp攻撃の主要な標的となっている。
12月上旬に、私たちはロシアと旧ソ連共和国の領土においての検出数が増加したことを指摘した。(http://blog.eset.com/2011/11/21/evolution-of-win32carberp-going-deeper) しかし、このトレンドは2011年12月と2012年1月の統計で見られることができる。

図5: ロシアでのCarberp検出

ロシア連邦はCarberpのインストール数が最大の国であり、以下の統計によって確認することができる。

図6: グローバル感染の統計

もう一つの興味深い事実はCarberpの新しいDDosプラグイン(Win32/Mishigy.AB)に関連するものである。このDDosプラグインはDelphi 7で開発され、Synapse TCP/IPライブラリからのネットワークコンポーネントに基づいている。SynapseコンポーネントはDDos ボットの作成にあたって、サイバー犯罪者の中では非常に受けがよい。このコンポーネントに基づいたDDosボットファミリーの印象的な例は、Win32/Delf.PYI(またの名はダートジャンパーボット)である。次がDDosモジュールの攻撃のタイプである。
HTTP/HTTPS attacks
GET/POST attacks
download flood attacks
DDosの防御システムをバイパスするために、複数のユーザーエージェントと合法的なウェブソースのタイプがreferrerの文字列で使用されている。

図7: DDos防御システムのバイパス

Carberpはロシア連邦において最大のボットネットの一つであり、アクティブボット数の合計は感染したホストの数百万と推定されている。Carberpのサイバー犯罪グループ自身に対してもDDosモジュールの攻撃は有効であり、オンラインバンキングからの搾取、利益を競合している。

出典:blog.eset.com
ESETロゴ:ESETセキュリティブログ 
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る