ブログ

金融マルウェアとその手口: ブラウザ攻撃者による攻撃

Shahnawaz 支援者サムネイル
シャーナワズ・バッカー
2016 年 5 月 23 日公開

マルウェアとその影響

マルウェアは金融業界に数十億ドルの損失をもたらしており、後戻りはできません。 この時点で、この分野は非常に儲かるため、マルウェア作成者が新たな攻撃を仕掛けるだろうと思われるかもしれないが、実際にはマルウェアはコードを再利用し、異なる形で生まれ変わっていることが判明している。  ほとんどのマルウェアは、悪意のある目的で、Man in The Browser (MiTB)、Man in The Middle [MITM] などのエクスプロイトを使用します。

 この記事では、Man in the Browser と F5 の不正対策 Solution (FPS) ベースの軽減策について説明します。 この攻撃ベクトルを利用するマルウェアが数多く存在することが知られています。  Bugat、Gozi、Tatanga、SpyEye、Zeus は、MiTB 技術を使用したよく知られたマルウェアの一部です。

Man in the Browser とは何ですか?

ブラウザに感染し、ユーザーにレンダリングされる前、またはサーバーに送信される前にページやトランザクションを密かに変更するトロイの木馬は、MiTB と総称できます。

ほとんどのブラウザは機能を拡張する機能を提供しており、Windows の場合はブラウザ ヘルパー オブジェクト、Google Chrome の場合は拡張機能、Firefox の場合はプラグインなどとして提供されます。 これらの拡張機能はカスタマイズされたブラウジング機能を大幅に実現しますが、マルウェアのツールとしても使用されます。 次回、お気に入りの銀行にログオンしたときに、このようなメッセージが表示されたら、MiTB がアクティブであると言えるでしょう。

 

 

残念ながら、攻撃者は巧妙かつ巧妙で、そのすべてが秘密にされています。 彼らは、ユーザーのブラウジング体験を向上させるブラウザの機能を利用し、それをさらに悪質な目的に使用します。 以下のスクリーンショットは、取得した資格情報を使用してドロップ ゾーンに秘密のリクエストを送信するマルウェアを示しています。

 

F5の不正対策ソリューションが答えです

詐欺師はブラウザを使用して情報を盗みますが、サーバーはクライアント側で発生するこれらのトランザクションについてまったく認識していません。  今必要なのは、顧客の閲覧習慣を妨げたり変更したりすることなく、顧客のブラウザで発生するこれらのトランザクションを監視することです。  F5 の FPS は、このような疑わしいアクティビティの監視に役立ちます。

F5のMiTB攻撃を阻止する独自の機能には、次のようなものがあります。

 

  • HTML フォーム フィールドの難読化: ユーザー名やパスワードなどの機密フィールド名はランダムな文字列に置き換えられ、特定のドキュメント オブジェクト モデル (DOM) 要素を探す自動スクリプトを無効化します。
  •  

     

  • 機密フィールドのリアルタイム暗号化: 識別された重要なフィールドは、ユーザーが入力するときに暗号化されます。
  •  

     

  • ブラウザベースのキーロガーを無効化する偽のストローク:  生成されたキーストロークは実際のユーザー入力を隠し、ブラウザベースのキーロガーを無効化します。
  •  

     

  • マルウェアによる外部スクリプト挿入に関するアラート: FPS は、AJAX が別のドメインに投稿した場合に銀行に警告します。
  •  

    結論

    Man In the Browser 攻撃は、チャネルの暗号化を破り、ブラウザから機密情報を盗む可能性があります。 F5 の FPS ソリューションは、セキュリティ ギャップを埋め、組織にユーザーのブラウザの可視性と保護を提供します。

    リソース