悪意のある人物が、標的がアカウントからログアウトした後でも被害者のアカウントを略奪可能な状態にしておくバンキング型トロイの木馬を作成した。
記憶に残る名前を持つ「OddJob」というトロイの木馬は、顧客のセッションIDトークンを利用して、オンラインバンキングのセッションをリアルタイムで乗っ取ります。被害者が退会したと思ってもアカウントを開設したままにすることで、このマルウェアは詐欺師が侵入したアカウントを略奪し、詐欺を働くための隙を作り出します。
このマルウェアを発見した取引セキュリティ会社トラスティアは、数か月前にこのマルウェアを発見したが、警察の捜査が終了したため今回初めて報告できると述べた。
OddJob は、東ヨーロッパに拠点を置くサイバー犯罪者によって、米国、ポーランド、デンマークを含むいくつかの国の顧客を攻撃するために使用されています。
Trusteerは、このマルウェアは数週間にわたる追跡で進化しており、現在も開発が進められている段階にあると述べている。このマルウェアは、設定に応じて、GETリクエストとPOSTリクエストのログ記録から、ページ全体の取得、接続の切断、ウェブページへのデータ挿入まで、様々な機能を実行できる。
ログに記録されたリクエストはリアルタイムでコマンド&コントロールサーバーに送信され、マルウェアの背後にいる犯罪者はリアルタイムのセッションハイジャックを実行できます。セッションIDトークンを入手することで、詐欺師は正規ユーザーになりすまし、不正な取引を行うことができます。
マルウェアの設定はディスクに保存されないため、アンチウイルスアプリケーションによる検出が容易になる可能性があります。代わりに、新しいブラウザセッションが開かれるたびに、制御サーバーからマルウェアの新しいインスタンスが取得されます。Trusteerは、セキュアウェブアクセスソフトウェア「Rapport」がマルウェアをブロックすると発表しています。これは良いことです。
Oddjob トロイの木馬の詳細については、Trusteer のこちらのブログ投稿をご覧ください。®
