Greasemonkeyに成りすまし、Firefoxをターゲットにするマルウェア 36
ストーリー by GetSet
あるAnonymous Coward 曰く、
Firefoxのみをターゲットとした、電子バンキングサイトのログイン情報を盗むマルウェアについて、BitDefenderが警告を発している。(参考:プレスリリース・本家記事)
マルウェアは「Trojan.PWS.ChromeInject.A」という名前で、Firefoxのアドオンフォルダ上では「Greasemonkey」に成りすましている。Firefoxが起動すると有効になり、JavaScriptでBarclaysやBank of America、PayPalなど、100以上の金融系および電子送金サイトを識別し、登録されているサイトにアクセスするとIDやパスワードなどのログイン情報を盗み、データをロシアのサーバーに送るという仕組みだ。
マルウェアは、ドライブバイダウンロードや別のものと見せかけてダウンロードさせることによって感染するとのことで、Firefoxのアドオンとして登録されているものではないとのこと。
Greasemonkeyになりすまし?? (スコア:3, 参考になる)
そうなの?
そうじゃなくて、Greasemonkeyスクリプトとして配布されているマルウェア(Greasemonkey利用者だけが影響を受ける)ってことじゃないの?
Greasemonkeyスクリプトのインストールは異様に簡単ですから、注意が必要ですね。(前から言われていたことと思いますが。)
Re:Greasemonkeyになりすまし?? (スコア:2, 興味深い)
もしそうなら(status barの猿マークをクリックして)Greasmonkeyをオフにするだけでも無効になるのかな。
個人的にはGreasemonkey自体がセキュリティ的に弱いのは周知の事実なので、
特にオンラインバンキングでグリモンをONにするなど考えられないことなのだが。
Re: (スコア:0)
「『非』お勧め」なのは言うまでもありません。
「新生銀行を使いやすくする Greasemonkey スクリプト」
ttp://carbonfairy.org/note/coding/071114-shinseiwand.html
#先頭のhはわざとはずして自動リンクしないようにしてます。
さらにはパスワードまで自動入力してくれる『改良型』もあるようです。
世の中にはこんな危険なものを有り難がるお馬鹿さんも多いのです。恐っ。
Re:Greasemonkeyになりすまし?? (スコア:1, 参考になる)
そもそも (スコア:1)
Re:そもそも (スコア:3, 興味深い)
トークン認証もOKでした。
サポセンに電話したら「確認いたします」といったん電話を保留にされ、「保証外ですがご利用になれます」
との返事が来ました。
ただ、Noscriptなんかを入れてると上手く機能しない箇所があるのでホワイトページに入れることをオススメします。
書痴の森へようこそ。
Re: (スコア:0)
三菱東京UFJ、三井住友、みずほの口座を持っていますが、いずれもFirefoxで問題なく使えています。
JNBも [japannetbank.co.jp] みずほも [mizuhobank.co.jp]Firefox 2対応を明言しているみたいですが…。サポセンの中の人は一体何を確認したんでしょうか。
Re:そもそも (スコア:1)
10分ぐらい待たされました。
書痴の森へようこそ。
Re: (スコア:0)
#かなり前の話だけど、昔は東京三菱がだめだったような気もする。
Re: (スコア:0)
マニュアルを確認してこの応対とか,テラワロスwww
Re: (スコア:0)
JNBもみずほも、Firefox 2対応ってだけで、3対応とは言っていません。
両サイトともIEに関する記述との違いを考えると、
故意にFx3を含めていない(=動作検証が済んでいない?)と思われます。
Re:そもそも (スコア:2, 参考になる)
Re:そもそも (スコア:1)
Amazonマーケットプレイスの出品ツールの使用には
Firefox 2.x,Firefox 3.xのみが推奨環境であり、
Internet Explorer 6、Internet Explorer 7はサポート対象外となっています。
ヘルプ > マーケットプレイスへの出品 > ガイドライン・規約 > システム推奨環境 [amazon.co.jp]
Re: (スコア:0)
公言はしていなくても使えるとこは結構あると思いますよ。
昔のように、わざわざチェックして使えないようにしてるって
所は減ったように思います。
# 実数は分かりません。イメージで。
Re: (スコア:0)
わざとFirefoxをFireFoxと書いているのがポイントです。
Re: (スコア:0, おもしろおかしい)
BitDefenderのプレスリリースが (スコア:0)
Re:BitDefenderのプレスリリースが (スコア:1, 参考になる)
Re: (スコア:0)
http://www.bitdefender.com/VIRUS-1000451-en--Trojan.PWS.ChromeInject.B.html [bitdefender.com]
名前の末尾が A ではなく B になっていますが、URL を A に変更しても同じページが表示されます。
# 末尾違い以前に http://www.bitdefender.com/VIRUS-1000451-en-- [bitdefender.com] まで削っても表示されるので
# VIRUS-1000451 だけで識別しているようです。
Re:BitDefenderのプレスリリースが (スコア:3, 興味深い)
このマルウェアは、extensionではなくpluginをインストールしています。ですから、あるいはプラグインの名前がgreasmonkeyなのかもしれません(ちなみに、プラグイン名もアドオンマネージャーのリストに載ります)。
拡張をインストールするためには、XPInstallを行わなければなりません。もちろん、トロイからXPInstallを実行するのも不可能ではありませが、セキュリティ的な理由ではなく、その煩雑さのせいで不確実さが増しますし、その道のプロでも100%は保障しないでしょう。
その点、バイナリを仕込むのにpluginをインストールするというのは、いいアイデアです。そもそも、browser.jsを書き換えているのですから、新たな拡張をインストールする必要はありません。複雑な操作と改変の痕跡が増えるだけです。browser.jsの改変は、トロイから見れば、jarファイルを置き換えるだけですし、pluginのインストールはdllファイルを規定のフォルダに放り込むだけです。つまり、この2つの操作は、ユーザーから見てなんの確認作業もなく(silently)行うことが出来るので、トロイの挙動としては理にかなっています。
# プラグインのファイル名"npbasic.dll"は、SDKサンプルのデフォルト名の一つなので、
# 横着というかなんというか、名前を見ただけでなんとなく動作が分かる気がします。
# npsimpleじゃなくてnpbasicなのか、と。
あまり慰めにはならないかもしれませんが、アンチウィルスソフトから見ると、この手のスクリプト改変やプラグインを検出するのはかなり容易だと思います。つまり、簡単に且つfalse-positiveなく定義ファイルを作ることができるでしょう。
むしろNSPluginが狙われた? (スコア:1, 参考になる)
将来的にNSPlugin(Netscape互換のプラグイン)が使えるブラウザには同じ物が襲ってくる可能性があります。(弱小シェアのブラウザは独自に仕様を策定してもplugin作者が振り向いてくれませんから、IEかNetscape互換するしかありません。)
まずシェア的に一番でかつNSPluginの御本家であるMozillaのFirefoxが狙われたに過ぎません。トリガーは各ブラウザで異なるものが作られ、バイナリは(Win,Mac,Linuxあたりに)クロスプラットフォーム展開が考えられます。
NSPluginですからIEは対象外ですが、IEはプラグインがActiveXでしたから今までも狙われまくってますよね。
# そのうちLLVM中間コードで送られてターゲットPC上で最終バイナリにビルドされるウィルスも出るかも...
Re:BitDefenderのプレスリリースが (スコア:1, 興味深い)
ひとつ恐いのはFirefoxのようなブラウザはZoneAlarmのようなファイヤーウォール
ソフトでは常に「通信を許可」に設定することなんですよね。
ウイルスや何かが他のアプリとしてインストールされてもZoneAlarmで弾かれるから
特に許可を出さない限りは安全だと思うけれど、Firefoxの拡張としてインストール
される場合はこれが効かなくなります。
まあファイヤーウォールにそこまで期待することが間違いだと言われれば、
それまでの話なんだけどね。
Re: (スコア:0)
最近のはextensionsフォルダにファイルを配置しただけで勝手にインストールされたような…。
もっとも新しい拡張が追加されるとユーザーに通知されますけど。
Re: (スコア:0)
言葉足らずでしたが、それがXPIです。そういう正常な手段を使っていいのなら特に難しくはありません。
Re: (スコア:0)
日本語で表示されないよ
Safe Modeで起動すると? (スコア:0)
別プロファイル……は関係ないと思うけど。多分。
#それだけなのでAC。
これも専ブラで対処すればいいんじゃね (スコア:0)
いつでもどこでも便利に、というなら携帯電話でアクセスすればいいしさ
キーロガー入りネカフェマシンでアクセスする必要なんてまるで無い
Re: (スコア:0)
申し込みしてから使えるまでに1ヶ月ぐらいかかりますって言われて、
約1ヶ月経ってCD-ROMが1枚届いた。
中身はIE3.xとプラグインが抱き合わせになった「専用ブラウザ」。
(当時はもうIE3は古かったと記憶しています。もうそのCD-ROMごと紛失していて再現できませんが。)
それでも専ブラって安全ですか?
結局インストールしただけで1回もアクセスせずに未使用口座となっているからAC
Re: (スコア:0)
Re: (スコア:0)
それでもアップデートされないブラウザをベースにしていたら意味がないが。
Re: (スコア:0)
Re: (スコア:0)
そういう意見は初めてなので仕組みを詳しく解説して下さいな
歴史は繰り返される (スコア:0)
といわれてそれを信じ、Firefoxを使っている/使わされている
低スキルユーザが大量にいるのですが、ちょっとFirefoxの使い方を
覚えたせいで、どんどん好き勝手にプラグインを入れてくれます。
きっとそういう人がこのマルウェアにやられるんですよね。
IEでもFirefoxでも結局は同じなんですよ。
今では「MSが嫌いだから攻撃しちゃえ」ではなく「金儲けのため
効率がいいモノを攻撃しちゃえ」なのだから、Firefoxのシェアが
20%に達した今は、十分攻撃対象となってきますね。