オンライン銀行詐欺ツール、ブラジルのアンダーグラウンドでレンタル開始

ブラジルは、ネットバンキングを狙った攻撃が多発する国として知られていますが、その点を考慮すると、サイバー犯罪者が「Software as a Service」ならぬ「Banking Trojans as a Service(サービスとしてのオンライン銀行詐欺ツール)」の活動まで始めたとしても不思議ではないでしょう。今回、トレンドマイクロで確認した事例では、技術に長けたサイバー犯罪者から初心者向けに「必要な機能を全て備えたオンライン銀行詐欺ツール」および「必要なコマンド&コントロール(C&C)サーバとのネットワーク」といったサービスがレンタルで提供されていました。

今回確認した事例では、「サービスとしてのオンライン銀行詐欺ツール」の広告までがデモ動画として YouTube に掲載されていた点が注目に値します。広告によると、「Ric」と名乗る作成者が「サービスとしてのオンライン銀行詐欺ツール」を10日間600米ドル(約6万2千円。2016年6月21日現在)程でレンタルしているようです。このサービスは、機能的に設計されたコンソールや、ブラジルの各銀行が採用している追加認証プロセスを回避する機能まで備えています。

■ 広告

ブラジルのサイバー犯罪者は、自分たちのサービスをインターネットで宣伝することで知られていますが、その点では Ric も例外ではなく、自身の YouTube アカウントを利用し、以下のように広告を掲載していました。

図1:YouTube のプロフィール画面(クリックで拡大)
図1:YouTube のプロフィール画面(クリックで拡大)

YouTube チャンネルには、「銀行詐欺ツールのレンタル、またはソースコードの販売をいたします。9つ以上の銀行に対応可能。バージョン2016」などという宣伝文が記載されています。

同チャンネルには、3つの動画がアップロードされ、それぞれオンライン銀行詐欺ツールの異なる特徴が説明されており、視聴回数は計1,000回程に達しています。各動画の説明には支払い方法のページヘのリンクが表示されています。Ric は、サービスに興味を持った購入希望者が直接交渉できるように、自身の Skype名も公開していました。弊社は、Ric は単独で活動しており、大きなサイバー犯罪組織に属していないと見ています。

Ric はまた、オンライン銀行詐欺ツールの変更履歴を公開し、購入希望者が変更点や改良点を確認できるようにしています。弊社は、このオンライン銀行詐欺ツールを「BKDR_MANGIT.SM」として検出対応しています。

図2:オンライン銀行詐欺ツールの変更履歴
図2:オンライン銀行詐欺ツールの変更履歴

「対応可能」な銀行の一覧も提供しています。

図3:対象銀行と他の Webサイト一覧
図3:対象銀行と他の Webサイト一覧

一覧には、ブラジルの最大手銀行の他、「PayPal」などのオンライン決済サービス、またブラジルのオンライン決済サービス「Mercado Livre」などの Webサイトが記載されています。インターネットサービスプロバイダや Webメールのプロバイダなど、他の Webサイトも一覧に含まれています。

全て込みのパッケージのレンタル料金は、10日間で2,000ブラジルレアル(約6万円。2016年6月21日現在)です。これは、ブラジルのアンダーグラウンド市場の相場では比較的高価と言えます。パッケージには以下のものが含まれています。

  • 感染PC を管理、操作する為のコントロールパネル
  • オンライン銀行詐欺ツール本体
  • オンライン銀行詐欺ツールをユーザPC に感染させるためのローダー、ドロッパーなど
  • 感染させた PC用の自動更新プログラム
  • 攻撃を成功させるために必要な C&Cサーバ

C&Cサーバを自前で用意することが可能で、攻撃を詳細に制御したいユーザ向けには、ソースコードを30,000ブラジルレアル(約92万円)で販売しています。

■ どのように攻撃が実行されるか

サイバー犯罪志願者がこのサービスを購入した場合、レンタル期間中有効な認証情報と一緒に、管理用 Webサイトの URL が通知されます。サービス購入者は、用意した C&Cサーバへ標的にしたユーザを誘導するため、「ダイナミックDNS(DDNS)」機能を設定する必要があります。また、用意した不正URL へユーザを誘導するのも購入者の役目です。ここでは、フィッシング手法がよく利用されています。

現在ブラジルの銀行では、預金者の口座の多くが2要素認証の形式で保護されています。一般的には SMSメッセージやユーザ識別アプリなどで別途コードを取得させて入力させる2要素認証が採用されています。Ric が提供するサービスでは、このような2要素認証への対策として、あえて認証プロトコル自体を突破しようとせず、代わりに以下のように遠隔操作による不正送金を可能にします。

  1. ユーザの PC にオンライン銀行詐欺ツールがインストールされると、攻撃者による感染PC の制御が可能となります。
  2. ユーザが銀行の Webサイトにアクセスすると、攻撃者に通知されます。この通知は SMS で受信することも可能です。
  3. その後、攻撃者はユーザの感染PC 画面を監視し、ユーザが銀行口座にログインするのを待ちます。
  4. ユーザがログインすると、攻撃者は感染PC の画面をロックします。銀行の Webサイトには、ユーザに待機を促す偽のメッセージが表示されます。
  5. 攻撃者が感染PC を操作し、不正送金や請求書の支払いなどの処理を開始します。
  6. 銀行の Webサイトが攻撃者である操作者にユーザ認証のためにトークンを入力するように促すと、そのタイミングで攻撃者は被害者の画面ロックを解除し、代わりに偽のトークン入力要求画面を表示させ、ユーザに手続き継続のためにトークンを入力する必要があると思わせます。
  7. 攻撃者は、入手したトークンを利用して不正な取引を完了します。

銀行により多少の差はありますが、攻撃の大枠についてはすべて同様です。現状、ブラジルのオンライン銀行詐欺ツールは情報窃取型が減少し、上述のような遠隔操作型が増加しています。

以下の図は、遠隔操作で使用されるコントロールパネルのスクリーンショットです。

図4:遠隔操作で使用されるコントロールパネル
図4:遠隔操作で使用されるコントロールパネル

このスクリーンショットは、Ric によるデモ動画から取得したもので、感染PC を遠隔操作し、偽のポップアップを利用して被害者にセキュリティコードやトークン、生年月日、携帯電話番号といった情報を入力するように指示している様子を表しています。あらゆる機能を網羅したアプリケーションであり、プロ並みの仕上がりです。

遠隔操作によって感染PC 上の取引が実行できるため、この不正活動の検出は更に困難になっています。ユーザのシステムを詳しく調べなければ、一見どのような取引もユーザPC から実行されているように、つまり実際にユーザが取引を行っているようにしか見えません。このような遠隔操作型オンライン銀行詐欺ツールの検出には、総合的な対策が必要になります。

■ Ric とはどのような人物か

この脅威に作成者として関わる Ric については、詳細は分かっていません。弊社が確認した範囲では、彼の「作品」は完成度が高く、技術に長けた人物であるということは分かります。彼は全てのコードを1から組み、ファイルを保護するためにパッカーを多用しています。中にはセキュリティ対策製品による検出を回避するため、自己発行の自己署名証明書を利用している検体もあります。

Ric は少なくとも他に3つのニックネームを使用し、ブラジル北部の地域に居住していると推察されます。ブラジル北部はサイバー犯罪の活動が盛んなことで知られています。昨年、弊社では「Lordfenix」というハンドルネームの若いサイバー犯罪者について報告しましたが、彼も北部ブラジルを拠点に活動していました。過去には、この地域のサイバー犯罪者グループの逮捕も報告されています。

■ 本稿の参考情報

本記事で取り上げた脅威に関連するハッシュ値は以下です。

  • 0544ddf37ba1fa1cd1406e3230b71665f4d7f0e4
  • 0a07ffa9214300a2b344012c891d21eca3fe518b
  • 1248a4e8deba0969b157b04fd092e74e19819244
  • 148959187df82a064d5117cad1390c123bd631fd
  • 1bd6afddb00c2c3ebcd6f7804e2190b43c493989
  • 1ce922aae75bf64012cab8d450f0d9885b159436
  • 2021d0cd76069b0aa95cf9598720c9e1d65fe91f
  • 2416b15f97528dd8186ac755e08c4f7668c02dad
  • 245be19ca07d337b9fbe47674d25fb51459e3d44
  • 259e299670e8a1e7d2f46c5782045b3153e5d6a9
  • 2a2593cf050f30ae8ed4b9dd1807ca6f521b6d6a
  • 2a7cc963e16abafa89ac8d56cc09668095a5a73a
  • 30f06f3a9781cb50ae66ca1aa12c0503bbf08fad
  • 34f3406a7441c3c7b21ffa0877e068e609a84050
  • 3b7ad12650d9fd3db96781d5ba1267b70173ba6f
  • 4108227957af840bae040e19473eb4d8b44b96d0
  • 44bfd351bb56168433176914dfbd802c7d5d0d62
  • 463720e81a715502f358f130f19aefcba197f61e
  • 494c70aa394c9ac2357ffd24015fdf6520fc099e
  • 4977d5ee347b165754ff7aeed1d7558c57470e47
  • 54d5c67a0ec3369470c5ef3e349a8388ec16d129
  • 5638de1f210601fbaad485a2697e025c74d3c115
  • 591ff4b508dd2a95cb7902b8ee053faedc499cde
  • 5e486833c60b71e06875413bc65e5e04294a477f
  • 5f6d52c6e522b85e42795aa92080571013789edc
  • 63f7cb0269c6025bedcbf5d504b017a2a6040922
  • 63f7cb0269c6025bedcbf5d504b017a2a6040922
  • 6f5ec43f961aed5ca1636a3076d20c194ac224a6
  • 6fe8e9bc672075d67b7fcca8d91cf2965ff8faad
  • 712f9abcda812bce969aabf737c2941e61a8c721
  • 766e61c2fa635889d37b7102df962898493b51ad
  • 79d263d20f90510fbac226fd74ad62e1a1c8d5d9
  • 7b375374634c14ea44096b6867c5efe422792a18
  • 7c2d0da47c6e25bd71df95b92af623bb3f9fdffb
  • 7d010b949297d5c9c2a48ee576516ddae2d4cdcb
  • 8463a6b1c20d21d402880901e2d8835fbca4684b
  • 86f8832e4feec308d9502a68d387fccc781a07e1
  • 884486e940e83da215d891d11d28e30edf63ac4e
  • 88a2f63ae6cd0d0e78d0da8554436fd4e62fad14
  • 8ea8fce842c9e793a8c19ffba17b86c89b15ac48
  • 9bf2e20ccc8ad7e609b6c69cc63adaabd2b9a035
  • 9c9934009a8087733e7c31c53af034c82ea534cb
  • a9a266c5b71c20f5a1cde9227030dc94622e7c5e
  • af350a24879f47b6b65abb9e3cda5b1545256979
  • b024a8770e3e76c61149fcfbb151dcf824f8268e
  • b14865b3f7c4ab15661ec06084a6bc90ae0ef92a
  • b15051e1287ac53c93e388aae52e7986dbd7d3c6
  • b1eab55c914c0883490fbc97f084c5798faa00a6
  • c286dfc1b19bb5d758ce84d062dbd838b83c1912
  • c8f90cbabbdc79f406505cfa7822c1b6ab668bed
  • d170fbbad42d66f17ae29d88c3ef03241f936310
  • d3415207af815b94880b3ec9397159009722595f
  • d7a7345f91c2ec5950844db3a30b19f647bd534e
  • d9aecea5197780c88c642f0b864391f5e5f3493a
  • e0e0c1ec46cc5b740e73cffb4b3e6491bc049852
  • e16fa5a4802915b9975e7883ccbb6de105f3919f
  • e1bfec0463f02b46e317c28b4f9f3cecd2612481
  • e22a3464a0036d66ebe50b16cfe30335167c2a43
  • e2a1ea56b151147b58451b8b5799d1c268975d3d
  • e380816231cff0967ff77c55bfadf60d76b4259d
  • e6200a0020f164798d41a068734a20befa7effc1
  • e65cb02eb39f64681eeed1cb7865ac66b6fd37c3
  • ec2493b621a960900f8fcc749eb8ab7bacd70f7b
  • f5728c4d3f94e6fc9399f243beaa795a9f728224
  • f68cfd93bee778249d95cc67dc853ad22d149d67
  • f849382d3bdb6b0d945cd29a3c85e52863c0a0d9
  • f8e8dd3d5f18e4414db85caa467492c064af8276

この脅威に関連する Webサイトは以下のとおりです。

  • hxxp://www.{BLOCKED} attisrl.it/libraries/phputf8/utils/JK2007.exe
  • hxxp://{BLOCKED} cosmeticos.com.br/appword.exe

参考記事:

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)

 

Related posts:

  1. オンライン銀行詐欺ツールを新しく確認 ネットワークを傍受して情報を窃取
  2. ロシアのアンダーグラウンドで活動するブラジル系サイバー犯罪者を確認。クレジットカード窃取に関与か
  3. ブラジルのアンダーグラウンド:クレジットカード情報確認「サービス」を確認
  4. 金融機関の情報を窃取する「RAMNIT」、閉鎖後も不正活動を継続