AMBLER」ファミリの亜種は、侵入したコンピュータから情報を収集するマルウェアです。トレンドマイクロでは、このマルウェアの亜種を2009年に確認しています。

メディアは、「ZBOT」のように情報収集を備えているマルウェアの亜種を「Sunspot」として報告しています。TrendLabs(トレンドラボ)では、「AMBLER」ファミリの亜種としてこれらのマルウェアを確認しています。トレンドマイクロでは、これらのマルウェアの亜種を「TROJ_AMBLER.KA」および「TSPY_AMBLER.KA」として検出します。

AMBLERファミリは、どのようにしてコンピュータに侵入しますか?

トレンドマイクロでは、AMBLERファミリの亜種としてワーム「WORM_AMBLER」、トロイの木馬型マルウェア「TROJ_AMBLER」およびスパイウェア「TSPY_AMBLER」といった亜種を含む、それぞれ異なる検出名で対応しています。そのためAMBLERは、さまざまな感染経路を経由してユーザのコンピュータに侵入する可能性があります。

AMBLERは、悪意のあるWebサイトまたは改ざんされたWebサイトからユーザが誤ってダウンロードするか、既にコンピュータに侵入している他のマルウェアにダウンロードされることによりコンピュータに侵入します。また、「TROJ_AMBLER」の場合、他のマルウェアが、侵入したコンピュータにAMBLERを作成する場合もあります。その他の例では、「TROJ_AMBLER」がスパムメールの添付ファイルとしてコンピュータに侵入する場合もあります。

TROJ_AMBLER」は、通常、スパイウェアのコンポーネントを作成します。このコンポーネントは、オンライン銀行の情報を収集する役割を果たします。

WORM_AMBLER」は、リムーバブルドライブを介して感染活動を行います。そして、侵入したコンピュータ内にスパイウェアのコンポーネントを作成します。

この脅威は、どのような攻撃をユーザに仕掛けますか?

通常、「TROJ_AMBLER」や「WORM_AMBLER」は、コンピュータの特定のフォルダ内に「TSPY_AMBLER」を作成します。「TSPY_AMBLER」は、ユーザが特定のWebサイトにアクセスすると、情報収集の活動を実行します。

TSPY_AMBLER」は、主にどのようなリスクを及ぼしますか?

AMBLERのスパイウェアのコンポーネント(「TSPY_AMBLER」として検出)は、プログラムに不正なパラメータを送信して攻撃を行う「インジェクション攻撃」、Webサイトのキー入力情報の収集およびスクリーンショットの取得を含む「man-in-the-browser」攻撃を実行する機能を備えています。

TSPY_AMBLER」は、以下の情報を収集します。

  • 米国大手銀行「Bank of America」のユーザの認証情報
  • 証明書
  • インターネットのクッキー
  • Internet ExplorerIE)のオートコンプリートの情報
  • IEのオートコンプリート機能によって保存されたパスワード
  • IEのパスワードで保護されたWebサイト
  • "Microsoft Outlook Express" のユーザ認証情報
  • ネットワークアプリケーションソフト「MSN Explorer」のログイン情報
  • "pstorec.dll" に保存されているパスワード

また、この「TSPY_AMBLER」は、以下の機能を備えています。

  • クッキーの削除
  • 自身の削除
  • ドライブの列挙
  • キー入力操作情報の収集
  • コンピュータのシャットダウン

TSPY_AMBLER」は、これらの機能を実行することにより、この亜種に感染したコンピュータのユーザのオンライン銀行のアカウント情報を収集することが可能になります。そして、「TSPY_AMBLER」は、これらの情報を「HTTP POST」を介して特定のWebサイトに送信します。

なぜこの攻撃は Noteworthy(要注意)に分類されたのですか?

AMBLERの亜種「TSPY_AMBLER」は、オンラインバンキングで使用されるログイン情報を収集することで知られています。しかし、このスパイウェアに感染したコンピュータのユーザは、ログイン情報だけでなく、他の個人情報も収集されてしまうことになります。

この脅威は、どのような影響をユーザに与えますか?

AMBLERの亜種は、オンライン銀行の認証情報、アカウント情報およびその他の個人情報といった重要な情報をユーザから収集することを目的として設計されています。こうして、収集された情報は、他の不正活動に利用されたり、アンダーグラウンドマーケットで取引される可能性があります。

また、サイバー犯罪者が収集した認証情報を用いてユーザの口座から不正に資金を取引し、その結果、ユーザに金銭的損失の被害が及ぶ場合もあります。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「ファイルレピュテーション」技術は、万が一、ユーザのコンピュータに「TROJ_AMBLER」、「TSPY_AMBLER」および「WORM_AMBLER」が侵入しても、直ちに検出してファイルが実行されるのを未然に防ぐことができます。さらに「Webレピュテーション」技術により、「AMBLER」がダウンロードされてくるような不正なWebサイトや収集された情報が送信されるWebサイトへのアクセスを未然にブロックします。このようにして、今回の脅威による情報漏えいを阻止することができます。