「Zeus」+「SpyEye」第3回:最新ケースの紹介

2011/03/22

現在セキュリティ業界では、高度なバンキングマルウェアであるZeusとSpyEyeの「合併」について、様々な噂が飛び交っています。ある報告書には、ZeusのソースコードがSpyEyeの開発者に提供されたと記載されています。他の報告書には、Zeusが売却されたとか、実際には何も起こっておらず、最近Zeusの「顧客」が逮捕されたこともあって、Zeusの開発者が身を潜めるためにとった偽の情報だと記載しているものもあります。

動機が何であるにせよ、Zeus陣営もSpyEye陣営も活発に活動していることは確かでしょう。特に税金の申告時期であるこの時期は、サイバー犯罪者にとって、マルウェアを使用してソーシャルエンジニアリングを実行する絶好の機会となっています。 今回はアメリカ合衆国内国歳入庁(IRS)に関連するソーシャルエンジニアリングを活用したケースなどを紹介します。タイミングを考えると、ZeusとSpyEyeのマーケティング活動は、同じチームが担当しているのではないかと思ってしまいます。

以下にメールのメッセージ例を紹介します:

緊急報告!
連邦税の納税申請ID:0010323734が却下されました。
返却の理由コードR21 –企業識別フィールドに記載されているID番号が無効です。添付されている情報をご確認のうえ、コードR21を参照し、トランザクションコンタクトセクションにて企業報酬の詳細情報を入手してください。
電子納税システム(EFTPS: The Electronic Federal Tax Payment System)
注意:EFTPSを利用するしないに関わらず、納税義務があります。緊急の場合は、EFTPSに電話で納税することが可能です。
IRS通知

別な例を紹介します:

昨年度の事業活動を計算した結果、468.32米ドルの税金の還付を受ける資格があります。
税金還付依頼書を提出してください。処理に6日から9日かかります。
たとえば、無効な情報を提出したり、締め切り後に申請したりするなど、還付はさまざまな理由で遅れることがあります。
税金の還付を受けるための書類にアクセスするには、ここをクリックしてください。
以上
アメリカ合衆国内国歳入庁

これらの中には、ベリサインから発行されている体裁を装った偽のデジタル署名まで使用しているケースも確認されています。

SpyEyeには、Nikeの顧客をターゲットに活動しているものもあります。このケースでは、オンラインで商品を購入した人に対し、無作為に納品書を添付するという形をとっており、一般的なBredolabとZeusの戦術が繰り返し利用されています。

以下は、メールからの抜粋です:

お客様へ
良いお知らせです!ご注文商品のお支払いを確認しました。EO202608527の番号のもとで注文処理を進めます。納品書(詳細は添付のとおりです)
NikeStore.comからの商品およびNIKEiDでカスタム商品を注文された方には、複数の納品書が送付されます:
- 最初の納品書は、NikeStore.comで購入された全商品に対するものです。
- カスタマイズされたNIKEiD商品については、ご注文時に入力された住所宛に商品が届く前に、納品書(場合によっては複数)が送付されます。
- NIEKiDで購入された商品のひとつひとつに対して、納品書が送付されます。

今回のケースは、季節的なマルウェア戦術かもしれませんし、タイミングが重なったのは単なる偶然かもしれません。ただ、ZeusとSpyEyeはいずれも世界各地で拡散している危険なマルウェアです。今後、引き起こされる可能性のある脅威に対して、依然注意が必要といえるでしょう。