報道によれば、大手セキュリティ・ベンダーSymantec傘下のメッセージラボ ジャパンは3月5日、「ブラジルの複数銀行のオンラインバンキングユーザーや、米New York Timesの読者を狙ったフィッシング詐欺が相次いで見つかった。」として、攻撃の手口を発表した。
この画像は、「記事リーダーを装う不正プログラム」のキャプチャ画像だ↑(メッセージラボ提供)
これらの攻撃は、いずれも「公式アプリケーション」と称するファイルを実行させるのが特徴となっている。
ブラジルの銀行を騙った攻撃では、2月にBradescoとSicrediの2行の公式窓口を名乗る、不審な実行可能ファイルが添付されたメールが出回った。
このファイルはVisual BasicとInno Setupを悪用しており、実行すると銀行のロゴや商標が
上に表示され、インストールするよう仕向ける。
そして、インストールが完了すると、「All Programs」フォルダにエントリが作成されて、デスクトトップ上にアイコンが表示される。
ユーザーがこのアプリケーションを実行すると、正規のオンラインバンキングサービスに似た画面が表示されるが、その背後ではトロイの木馬が実行され、ユーザーが入力した個人情報を密かに攻撃者へ通知する仕組みになっていた。
また、New York Timesをかたる攻撃では、英国にある特定企業や公共部門のオンライン版読者を標的にしていた。
標的者あてのメールには「Times Reader Plugin.exe」という記事リーダーアプリケーションに見せかけたファイルが添付され、実行してしまうと「iexplore.exe」を悪用して、「rundl32.exe」「rundl32」の2つのファイルを「C:\windows\system32」フォルダに作成する。
これらのファイルはキーロガー(=キーボードの入力情報を記録する不正プログラム)の一種で、rundl32ファイルにユーザーが入力した情報を書き出し、デンマークにあるIPアドレスへデータを暗号化して送信していた。
なお、一定期間後に活動を停止して自身を削除する仕組みになっていたという。