8月中ごろの22日間にわたって、トロイの木馬を仕掛けた犯人たちは43万8000ドル近くに相当する金額を盗んだ。
このトロイの木馬の仕組みは次のようなものだ。
ユーザーが電子メールを開いて、マルウェア配布のために作成されたウェブサイトへのリンクをクリックするか、または改ざんされてマルウェアが隠されたサイトにアクセスすることにより、ユーザーのコンピュータが感染する。
この場合のマルウェアとは、LuckySploitと呼ばれるツールキットで、ブラウザの既知のセキュリティホールを悪用し、トロイの木馬をコンピュータにインストールする。トロイの木馬は、標的とする銀行のサイトにユーザーがアクセスしたことを検知すると、すぐさま行動を開始する。
ユーザーがサイトで操作をしている間、トロイの木馬は口座の残高を見て、盗む金額を算出する。このトロイの木馬には最低金額と最高金額の範囲が設定されており、その範囲は、詐欺対策システムが作動する金額より少なく、一定の割合を口座に残すとBen-Itzhak氏は述べた。
計算が終わると、トロイの木馬は、ユーザーに知られずにブラウザを介して銀行のサイトと通信し、取引を実行する。
「トロイの木馬は銀行に要求を送信し、応答を得るが、それはブラウザには表示されない。ユーザーが口座情報を表示していても、トロイの木馬による取引は一切現れない」(Ben-Itzhak氏)
Finjanのブログ記事では、次のように説明されている。
URLZoneは、攻撃者が「URLZone Builder」を使用して構成ファイルを作成できるトロイの木馬キットだ。このファイルにはボットへの詳細な指令が記述されており、攻撃者が希望するどの銀行でも攻撃できるようになっている。URLZoneは、「ワンタイムパスワード」を使用するドイツの銀行のセキュリティを迂回することに成功した。ワンタイムパスワードとは、ユーザーがアカウントにログインするたびに新しいパスワードを付与されるようにする手法で、その目的は、ユーザー名とパスワードを盗んでも役に立たないようにすることだ。マルウェアは、首尾よく目的を達成するには、ブラウザ上で自身を実行してパラメータを変更し、ユーザーをだまして口座からの不正な金銭取引を承認させる必要がある。ここまでは、このマルウェアの行動はほかの多くのトロイの木馬と同様だ。しかし、URLZoneは配信された構成ファイルを使用してユーザーを操る。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果