シマンテックは6月2日、同社のブログにおいて、「脆弱性を悪用しないマルウェアBankeiyaが日本のユーザーを狙う」という記事をエントリーし、注意を喚起した。

同社は今年2月、日本のオンラインバンキングサイトに特有の機密情報を監視して盗み取るトロイの木馬「Infostealer.Bankeiya」を公表したが、ここにきて、同マルウェアの活動が再開されているという。

5月30日、バッファローはWebサイトで配布していた一部のドライバインストーラがマルウェアに感染していたことを公表したが、感染していたマルウェアはInfostealer.Bankeiya.Bであることが確認されている。

侵害されていた10個のファイルは、(重複を含めずに)540件のIPアドレスから合計856回ダウンロードされているという。

インストーラの改竄方法は2とおりあり、1つ目の方法は、自己解凍形式のRARファイルsetup.exeがインストール処理中に悪質な.dllファイルを実行するように改竄されていた。

この.dllファイルは別の.dllファイルを投下するトロイの木馬であり、投下される.dllファイルがリモートロケーションからInfostealer.Bankeiya.Bをダウンロードしてインストールする。

ファイルが改竄されたことで、デジタル署名証明書は破損している。

改竄されたファイルのデジタル署名証明書は破損している

2つ目の方法は、バッファローのインストーラを含んだInfostealr.Bankeiya.Bが正規のインストーラであるかのように偽装されている。

そのため、このインストーラを実行すると、正規のドライバ用のsetup.exeファイルと共にトロイの木馬のコンポーネントも投下され、このコンポーネントが悪質な.dllファイルを投下し、それによってInfostealer.Bankeiya.Bのメインコンポーネントがダウンロードされる。

侵害されたインストーラを実行すると、中国語のWinRARユーザーインタフェースが表示される。

侵害されたドライバインストーラを実行すると表示される中国語のWinRARインターフェース

同社は、保護対策として、Bankeiyaに感染している可能性がある場合は、直ちに最新のセキュリティソフトウェアを使ってコンピュータをスキャンするとともに、オンラインバンキングのパスワードを変更することを推奨している。