EMCジャパンのRSA事業本部は8月27日、7月の月次レポートを発表した。これによると、フィッシング攻撃に利用される「トロイの木馬」のトレンドが、古典的なツールへと移り変わっているという。

RSA7月 月次レポート

その古典的なトロイの木馬は「Phish Locker」と呼ばれ、マルウェアが生成したフィッシングページをオンラインバンキング利用者に見せるために利用されている。

ほかのトロイの木馬と同様に、Phish Lockerはイベントをトリガーとして活動を開始するという。しかしながら、設定ファイルを持たないため、殆どの情報はマルウェアの中にハードコードされていて、後から変更することができない。

このマルウェアに感染した端末でユーザーがブラウザを開き、アクセスしているURLがトリガーの対象となっているとPhish Lockerは活動を始める。Phish Lockerが起動すると、ブラウザのウィンドウは強制的に閉じられ、デスクトップ上の「スタート」ボタンが消えるという。

続いてユーザーがブラウザ起動時に入力した文字列によって、Phish Lockerはユーザーがアクセスしようとしていたページとよく似たフィッシングページをポップアップする。これには、あらかじめページを用意している場合と読み込んだ情報にWebインジェクションをして表示するケースがある。

Phish Lockerは、通常いくつかのハードコードされたWebフォームを持っており、そのページと関連する個人情報の入力を要求してくる。要求する内容は、攻撃を受けたユーザーが利用している銀行に応じて変更されるという。

最近流行しているトロイの木馬は、端末に感染するとキー入力や文章、個人情報、クッキーなどの要素を盗み取ることができるようになる。しかし、古典的なツールであるPhish Lockerは、こうした複雑な活動は行うことができず、盗んだ情報の転送にメールを利用するという。Phish Lockerの作者は、感染したPCからメールを送信する際に、データ送信が妨害された場合のフォールバック機構として、送信者といくつかの受信者をあらかじめ決めておく拡張SMTPを使っている。

また、ほかにも最近のトロイの木馬とは活動の仕方という点で大きな違いが見受けられるという。最近のトロイの木馬は、ブラウザが起動している間、常に通信を監視して情報を盗み取るのに対し、Phish Lockerはブラウザを完全に閉じた後から行動を開始する。Webフォームから情報が送り出されるとPhish Lockerは活動を停止し、PCのコントロールを奪うといった不正な活動を一切行わないため、検出されにくくなっているとRSAでは分析している。

この古典的なトロイの木馬は新興国だけではなく、日本を狙った攻撃でも確認されているといい、RSAでは注意を呼びかけている。