オンラインバンキング詐欺ツールで知られる「KINS」のソースコードが、遂にアンダーグラウンド系フォーラムに流出しているのが確認されました。これにより、オンラインバンキングの利用者を狙ったサイバー犯罪はさらに複雑化していくことが予想されます。

KINSとは今年7月頃に報告され、次代のZeuSやSpyEyeと呼ばれる不正プログラムの1つです。

9月末にKINSの詳細情報が報告されました。10月10日頃よりセキュリティ専門家より一部の捜査機関、およびセキュリティベンダー等にKINSソースコードが配布され始め、ようやく対策が取られ始めたところでした。
#ソースコードの入手の際には所属組織、氏名、職位等の情報が必要。

参考
http://touchmymalware.blogspot.ru/2013/10/kins-source-code-leaked.html
http://www.xylibox.com/2013/09/having-look-on-kins-toolkit.html
http://pastebin.com/T1A80ZYF
https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/


KINS source code

ところが、先週この配布されたソースコードはあっさりと流出したことが確認されました。
KINSのソースコードは、配布者の承認を得たセキュリティベンダー等とされているだけに非常に残念な事です。
#インテリジェンスの共有が難しいのは、この辺りでしょうか。

leaked source code

残念ながら、KINSが完全に検出はできない状態ですが、かろうじて救いなのは、KINS自体は一部の関連ファイルから見て取れるように、ZeuSがベースとなっていることでしょうか。そのため、実行時にZBOTもしくはSpyEye関連のファイルとして検出されることがあります。例えば、次に示す関連ファイルはその典型です。

bot32.dll

参考URL
https://www.virustotal.com/en/file/8c8055c9e972ab37d0880f2b8f63605be52babd779a29e78be3647194ef31aa2/analysis/

また、Dropperに限定されますが、AlienVault-LabsからYaraのルールが提供されています。
https://github.com/AlienVault-Labs/AlienVaultLabs/blob/master/malware_analysis/KINS/kins.yar
オリジナルルールが追加可能なセキュリティ製品を所有しているのであれば、このルールを参照してみるのも良いかもしれません。

勿論、組織としてこれらの対策を講じることは大事ですが、まずは個々の口座で不正送金等が無いかの確認をする方が先決です。