セキュリティソフト(ウイルス対策ソフト)

メニュー

ネットバンキングを狙うマルウェア「WERDLOD」新手口で感染拡大を図る

2015.09.10

既に検出されて駆除対象ともなっているネットバンキング狙いのマルウェア「WERDLOD」の感染拡大を図る、新たな手口が見つかっています。

9月9日、トレンドマイクロから「ネットバンキングを狙う新たなマルウェアスパム「ご注文の確認」」として注意喚起のニュースが発表されています。

150910

別の有名ネット通販サイトからのメールに偽装

従来のマルウェアスパムとは件名、偽装した発信元を変更する形で、WERDLODに感染させることを狙ったスパムメールが新たに確認されています。
新たに別の有名通販サイトからのメールであるかのような偽装が行われています。

新しい方のスパムメールの件名は、「ご注文の確認」という文字列を含んでいます。
また、感染させることを狙ったマルウェアはPDFファイルに偽装した形で、添付の圧縮ファイルの中に格納されています。

150910_01

こちらのファイルですが、ファイルのアイコンこそPDFファイルですが、ファイルの拡張子は「.exe」となっており、この部分を見れば内容がPDFファイルではないことに気づくことが出来ます。
(PDFファイルの拡張子はもちろん「.pdf」です)
この部分にちょっと注意を払うだけでも、自己防衛が可能になります。

マルウェア自体はかなり巧妙な作り

このマルウェアの手口はかなり巧妙な作りになっています。

感染したパソコンのプロキシーサーバの設定を書き換えるかたちで、オンラインバンキングの特定のサーバへのアクセスのみ、悪意を持った人間が立てたサーバを経由する形にアクセス経路が変更されます。

このため途中で経由するサーバを使って、オンラインバンキングにログインするために入力するIDやパスワードを盗まれてしまうのです。

通常であれば証明書のないサーバとSSLやTLSの通信手順で接続しようとすると証明書エラーが出るのですが、これをも偽装するために、偽のサーバ証明書をこっそりと勝手にインストールする処理までが組み込まれています。

このためこのマルウェアに感染したユーザが、感染している事実に気がつきにくくなっています。

添付ファイルのファイル名などにも注意

マルウェアの添付ファイルには、日付を意味すると思われる数字がついていますが、年月日の順番が一般的な日本語での表記の順序とは異なり、「日、月、年」となっているところも特徴になっています。
この部分もチェックしておくことで、マルウェアから身を守ることが可能になります。

また、メール本文の体裁や内容も、本来の通販サイトの注文確認メールとは大幅に異なります。
この部分もマルウェア感染を狙った今回のスパムメールの特徴となっていますので、この点にも注意をしておくことが肝要です。