Kaspersky Labのグローバル調査分析チーム(Global Research and Analysis Team:GReAT)は1月8日、オンラインバンキングシステムとその利用者に重大な被害を及ぼすマルウェア「Chthonic(ソニック)」を発見し、公表した。

Chthonicは悪名高いトロイの木馬「Zeus」が進化したもので、これまでに15か国150以上の銀行と20の決済システムへの攻撃が判明。感染したコンピューターからオンラインバンキングに必要な認証情報を盗み出すだけでなく、感染したコンピューターを遠隔操作し、不正に金銭取引を実行できる。

主な攻撃はWebインジェクションを利用するもので、感染したコンピューターのブラウザーで金融機関の正規のページがロードされる際に、Chthonicのコードや画像を埋め込み、利用者が入力するログインIDやパスワード、ワンタイムパスワード、暗証番号などの認証情報を盗み取る。主な標的は、英国、スペイン、米国、ロシア、日本、イタリアの金融機関となっている。

コンピューターの感染には、Microsoft Officeの脆弱性「CVE-2014-1761」を悪用した、RTF形式のコードを含むDOCファイルが利用されており、メールに添付されたこのファイルを実行するとバックドアを作成。その後、msiexec.exeプロセスに悪質コードが埋め込まれ、多数の悪質モジュールがコンピューターにインストールされる。

これまでにKaspersky Labが確認したモジュールは、WebインジェクションやWebフォームの改ざん、コンピューターのシステム情報の収集、保存されたパスワードの搾取、キーボード入力の記録、リモートアクセスの有効化、Webカメラやマイクを使った動画撮影や録音を行うものなどがある。

日本では、銀行の正規のページに掲載されているセキュリティ警告メッセージを非表示にし、攻撃者が利用者の口座から不正に金銭取引を行うためのスクリプトを埋め込む例を確認している。

また、あるロシアの銀行の例では、感染したコンピューターのユーザーがオンラインバンキングのページを開くと、Chthonicによって埋め込まれたiframeにより、銀行の正規のページと同サイズのフィッシングページが表示されるようになっていた。

これまでのところ、攻撃された金融機関がドメインやWebページの構造を改良したことで、ChthonicがWebインジェクション攻撃に使用するコードの大半は機能しなくなっている。

Kaspersky Lab製品では、Chthonicを「Trojan-Banker.Win32.Chthonic」として検知する。