Threatpost - The First Stop For Security News

8月19日(米国時間)、Threatpostに掲載された記事「New Brazilian Banking Trojan Uses Windows PowerShell Utility |Threatpost|The first stop for security news」が、ブラジルの銀行をターゲットとした新たなトロイの木馬「Trojan-Proxy.PowerShell.Agent.a」について伝えた。このトロイの木馬はPowerShellで開発されており、品質も高いと評価されている。

トロイの木馬「Trojan-Proxy.PowerShell.Agent.a」はInternet Explorerのプロキシ設定を変更し、ブラジルの銀行に対するアクセスをフィッシングサイトへリダイレクトするように変更する。こうした操作はPowerShellスクリプトを介して実行されている。同様の手口は2013年にも流行していたが、今回は目的を達成するためにPowerShellスクリプトが使われている点が従来と異なるとされている。PowerShellにはポリシーを指定して実行を制限する機能が用意されているが、「Trojan-Proxy.PowerShell.Agent.a」ではそうした規制を回避してコードを実行している。

最近、PowerShellはマルウェアの実装系として使われるケースが増えている。「Trojan-Proxy.PowerShell.Agent.a」を実行してしまうと、ユーザーは気づかずに細工されたプロクシサーバを利用することになり、スクリプトにリストアップされているサイトにアクセスした場合は細工された詐欺サイトに誘導されることになるため注意が必要。