トレンドマイクロ、新種のオンライン銀行詐欺ツールのWERDLODについて解説

トレンドマイクロが新たに確認された日本をターゲットにしたオンライン銀行詐欺ツールのWERDLODの攻撃手口について解説した。このプログラムが発見された当初は「TROJ_ARTIEF」、「TROJ_VB」と検出されたが、その後「TROJ_WERDLOD」に改称され、2015年1月～3月の間に日本国内だけで約400件が検出されている。
WERDLODの主な特徴は、設定を二つ変更するだけでネットバンキングの認証情報の窃取が可能で、1つ目は攻撃者が用意した不正なプロキシサーバ経由にさせる設定、二つ目は不正なルート証明書をインストールして中間者攻撃を行う際にSSLサーバ証明書の検証エラーを出させない設定に変更することで、感染後は不正プログラムの起動や常駐せずに情報が窃取できる。
主な感染経路は、大手通販サービスの請求書を偽装したもので、送信アドレスは大手通販サービスのメールアドレスを偽装して本物に見せかけている。メールには RTF形式のファイルが添付され、そのファイル内の画像のアイコンをクリックさせることでWERDLODに感染する。このマルウェアに感染すると、攻撃者が用意した不正なproxy.pacファイルを参照するようにレジストリが変更され、インターネット接続の際に記載されたファイルに設定変更される。そして、不正なルート証明書をサイレントインストールする。これにより、通常は不正なプロキシサーバを経由されるとSSLサーバ証明書認証がエラーとなってアラートが上がるところが、不正なルート証明書インストールにより自己署名証明書を信頼するルート証明書リストに追加され、不正なプロキシサーバを経由して入力情報を傍受できるようになる。これらの設定変更により、ネットバンキングサイトにアクセスすると、不正なproxy.pacに基づいた不正なプロキシサーバに誘導されてMitM攻撃を受け、インストールされた不正なルート証明書により偽SSLサーバ証明書認証され正常なHTTPS通信が確立される。認証エラーは表示されないため、ユーザは異常に気付かないままIDやパスワードなどの認証情報を入力して攻撃者に窃取される。
防御策として、メールの添付ファイルを安易に開いて実行しないよう呼びかけている。また、金融機関などはEV証明書を導入しているため、サーバがEV証明書を使用して正常であれば、ブラウザのアドレスバーは緑色になるが、不正なものは緑ではないため、ユーザはこれを判断基準にするとよい。
さらに、WERDLODに感染した場合には設定が変更されて常駐もしないため、不正プログラムを削除しただけでは設定は変更されたままで情報の傍受がまだ可能なため、2つの設定を感染前の元の状態に戻すため、 WindowsとFirefoxのプロキシ自動構成の設定を削除し、不正なルート証明書をWindowsとFirefoxの「信頼済みルート証明書ストア」から削除するよう呼びかけている。

Tweet