UTMセキュリティーブログ

不正送金マルウェア「KRBANKER」「Blackmoon」

blogimg2-07
近年のサイバー犯罪の中で
一番の標的となっているインターネットバンキングサービス
前回の記事の中でも、お伝えした個人で最も警戒している事案になります。
日本国内でも攻撃が増加してきています。

不正送金マルウェア「KRBANKER」「Blackmoon」とは

インターネットバンキングへアクセスした時に、中継サーバ(プロキシサーバ)を利用して情報を盗む
「KRBanker」というマルウェアによる不正送金が発生しているとして
一般財団法人日本サイバー犯罪対策センター(JC3)が注意を呼びかけております。
このマルウェア別名で「Blackmoon」とも言われております。

これらのマルウェアの動きは

ユーザーがオンラインバンキングサイトへのアクセスする際、気づかれないようにブラウザーのプロキシサーバ設定を自動的に変更、偽サイトに誘導します。
変更する際の動きはトレンドマイクロの調査によると、

「KRBANKER」は、まず、中国の SNS にアクセスし、攻撃者が作成したと思われるアカウントのプロフィール情報から、偽サイトをホストする不正なサーバの IPアドレスを取得します。SNS やブログなどの正規サービスを悪用することにより、通信の隠ぺいを試みていると考えられます。

「KRBANKER」は、さらに、HTTP レスポンスヘッダに含まれる時刻情報を確認し、特定の日時を過ぎた場合は、後述する不正活動を行わずに終了するという機能もあり、不正活動の隠ぺいも試みていると考えられます。

誘導後、パスワード等打ち込ませて盗み取ります。いわゆるフッシングサイトです。
これのやっかいな所はブラウザ上で表示されているURLは正しかったりしています。
この他には「金融監督庁」とポップアップで偽の表示をさせて情報を盗もうととするバージョンもあるそうです。

マルウェアの活動

このマルウェアは特に活発になったのは2016年からで、最初の活動は2014年初期からになります。
特に韓国で猛威を振るっており、世界では4月時点で感染件数11万件、そのうち韓国だけで10万9000件あったそうです。

国内では企業から7月末に発見報告がJC3にあり、警視庁では8月にこの不正送金マルウェアが発生したことを確認しています。
元々は韓国の金融機関をターゲットにしていたみたいですが、最近は日本にも脅威が波状してきています。

このような悪意のあるマルウェアから守るため
備えあれば憂いなしです。
日々進化していくWEBの脅威に対して、
WALLIOR UTM(統合脅威管理)の導入のご検討してみてはいかがでしょうか?

ページトップへ
営業時間 平日 9時~19時03-6738-283803-6738-2838