本ブログ上で、5月末以降オンライン銀行詐欺ツール「URSNIF(アースニフ)」の猛威について2度に渡り報告しました(6月15日記事・7月1日記事)。これらの事例では、スパムメールに添付されている「NEMUCOD」「BEBLOH」「PAWXNIC」などを経由して最終的にURSNIFが拡散されることになります。
今回、「URSNIF」のダウンローダの1つとして利用されている「BEBLOH(べブロー)」がダウンローダではなく、オンライン銀行詐欺ツールとして拡散されている事例について報告します。「BEBLOH」は、2009年から確認されており、競合した「ZBOT」や「SPYEYE」などが消えていく中、生き残っているオンライン銀行詐欺ツールです。数年前から欧州で拡散されていましたが、2015年12月以降、日本での拡散が確認され始めました。「BEBLOH」の作成者は、新しいセキュリティ対策を回避するための手法を常に改良しています。問題の「BEBLOH」は、メモリ上に復号し、システム終了時に新しい実行ファイルを一時的に作成し、PC を再感染させた後、そのファイルを削除します。
■ 日本における傾向
国外ではスパムメールによって暗号化型ランサムウェアなどに誘導される事例が多発している一方で、現在国内で確認されている日本語のスパムメールは、オンライン銀行詐欺ツールに誘導される事例が頻繁に確認されており、「URSNIF」がその一例です。2016年3月3日に警察庁から発行された資料によれば、こうしたオンライン銀行詐欺ツールに狙われる銀行・金融機関は、大手都市銀行以外に、地方銀行および信用金庫、信用組合となっています。同資料によると、日本における被害額が2015年に過去最悪の約26億4600万円に到達しました。これら日本を狙うオンライン銀行詐欺ツールに「BEBLOH」が追加されたことによって、日本は、オンライン銀行詐欺ツールによる被害拡大に直面するかもしれません。
トレンドマイクロは、2015年の11月までは日本でほとんど検出されなかった「BEBLOH」の日本での活動を2015年12月に確認し、324検出しました。上述の警察庁の資料が発行された2016年3月には、検出数が2,562にまで増大しています。
■ 誰でも攻撃対象になる恐れ
「BEBLOH」の攻撃活動は、個人ユーザおよび企業の従業員の両方を対象にします。弊社は、企業のメールアカウントに送信されるものと個人のメールアカウントに送信されるもの両方のスパムメールを確認しています。スパムメールの件名は、ローン、ショッピングや配達など個人的なものから、人事関連など専門的なものまで多様です。この手法によって拡散が拡大しています。
図1:個人や組織に送信されるスパムメールの例1
図2:個人や組織に送信されるスパムメールの例2
■ 新しい攻撃方法
「BEBLOH」の作成者は、実行ファイルを暗号化するパッカーを短期間で変更します。このためパッカーの更新頻度に追いつかず、セキュリティ製品などによる検出が困難となります。弊社の解析から、自身が作成したプロセス内に実行ファイルを復号するバージョンの他、自身のメモリ上に復号した後、“explorer.exe” や “iexplore.exe” などの正規のプロセスに自身のコードを置き換えるバージョンが確認されています。「Process Hollowing」と呼ばれるこの手法は、不正なプロセスを隠ぺいするのに利用され、これにより、プロセス一覧上では正常なプロセスとして表示された状態で不正プログラムが実行されることになります。
「BEBLOH」がインストールされると、コマンド&コントロール(C&C)サーバに接続し、自身の更新、スリープ、「Webインジェクション」の設定のダウンロードなどを実行します。弊社は、C&Cサーバの返答で得られるURLが他の不正プログラムのダウンロードに利用され、随時変更されていることを確認しています。そして「BEBLOH」の備える情報収集機能によって得た情報を利用し、被害者の銀行口座を乗っ取ります。
また、ダウンロードされる他の不正プログラムとして、2016年1月から3月にはメールアドレス等を収集する「BKDR_PUSHDO」、それ以降、「TSPY_URSNIF」を確認しています。
ある検体では、3日間に3つの異なるダウンロードURL が利用されているのを確認しました。URL からの応答は通常暗号化されています。しかし復号されると、“CV {value}/r/n>DI/r/n>LD {URL}”の形式を利用していることが確認できます。
図3:復号された C&Cサーバからの通信
今回の「BEBLOH」は、日本の17の銀行および金融機関を監視しています。これらは、地方銀行、信用組合、オンライン銀行、そして大手都市銀行などです。規模の小さい銀行を対象にすることで、サイバー犯罪者は自身の攻撃を回避できると期待しています。攻撃者はまた、中小規模の銀行がセキュリティ対策に充分対応していないことに着目しています。これは、2016年の日本のオンライン銀行詐欺ツールの脅威状況で見られる傾向です。
トレンドマイクロの提供するエンドポイントセキュリティ製品「ウイルスバスター クラウド」、「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって個人ユーザおよび企業をこの脅威から保護します。
トレンドマイクロの提供する「Deep Discovery Email Inspector」は、「BEBLOH」の攻撃で利用される、不正なファイルが添付されたスパムメールを検出しブロックすることのできる高度な不正プログラム検出エンジンを備えています。この機能により、不正なマクロが添付された Office文書ファイルや PDFファイル、実行ファイル、スクリプトなどの添付されたスパムメールをブロックします。また、メールや件名に埋め込まれた不正な URL や添付ファイルに埋め込まれている URL をブロックすることが可能です。
「BEBLOH」に関連するハッシュ値:
- 342f10ba182897ef5eb58a10b8d5173a47d04760 – TSPY_BEBLOH.RLS
- 8ca281b70f1a7a9017bd29ada84ef28e6e6cc2c4 – TSPY_BEBLOH.YYS
- cd34148a1ce37b13389647674653e981cfacd522 – TSPY_BEBLOH.YYU
- d628a73fba0782df945db4e2887cf9981a5814c8 – TSPY_BEBLOH.TZZ
※調査協力:日本リージョナルトレンドラボ(RTL)
参考記事:
- 「BEBLOH Expands to Japan in Latest Spam Attack」
by Janus agcaoili(Threat Response Engineer)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)