オンラインバンキングの口座情報盗み出す「Citadel」 - 国内で2万台以上が感染
オンラインバンキングにおいて口座情報を窃取する「Citadel」の感染被害が国内で広がっている。トレンドマイクロによると、感染端末は2万台以上にのぼるという。
「Citadel」は、Zeusを元に開発されたボットプログラム。オンラインバンキングのアカウント情報を盗み出すために利用されており、海外において500万台以上に感染、90カ国以上において5億ドル以上の被害をもたらした。
こうした状況を打破すべくMicrosoftやFS-ISAC、A10 Network、FBIなどが協力し、作戦「Operation b54」を展開し、6月5日に大規模なテイクダウンに成功している。
しかし、日本IBMのTokyo SOCによれば同作戦後、国内の感染端末から米国のC&Cサーバに対する通信は減少傾向が見られたものの、ブラジルやトリニダードトバゴなどの他国との通信は増加しており、国内の感染端末には影響は見られなかった。
今回感染を感染したトレンドマイクロでは、欧米圏のIPアドレスを9個を利用するコマンド&コントロールサーバを特定。
これらIPに対する通信の96%以上が日本国内を発信元としており、いずれも感染端末からの通信と見られている。7月16日から21日までにC&Cサーバへアクセスした件数は、IPアドレスベースで2万件にのぼるという。
国内の6金融機関をターゲットとし、あきらかに日本国内のユーザーを標的としており、「Gmail」や」「Yahoo!メール」などウェブメールサービスからも情報を詐取していた。トレンドマイクロでは、利用する金融機関の注意喚起を確認するなど、被害に遭わないよう注意を呼びかけた。
6月は国内において、金融機関を狙ったフィッシングサイトの報告が減少しており、フィッシング対策の専門機関からは、「Zeus」「Citadel」などへ攻撃が移行しているのではないかとの憶測も出ている。
(Security NEXT - 2013/07/23 )
ツイート
PR
関連記事
「Mirai」と異なるボット、国内ベンダーのルータに感染拡大か
先週注目された記事(2024年5月5日〜2024年5月11日)
国内で「Mirai」とは異なるボットネットの動きが加速
新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に
「環境変数ファイル」など狙うマルウェア「Androxgh0st」
外部から見える脆弱性や闇ウェブ情報など監視するサービス
「VioStor NVR」の脆弱性に注意 - 「Mirai」亜種の拡大に悪用
「ラピッドリセット攻撃」が発生 - 1秒間で約4億リクエスト
マルウェアによるアカウント情報の窃取 - 2割強の企業で
「CODE BLUE 2023」のタイムテーブル - 脆弱性関連の講演充実