検索:
ホーム   »   Search results for: URSNIF

乗っ取ったメールアカウントを利用し、既存スレッドへの返信で「URSNIF」を拡散するスパムメール送信活動を確認
  • 投稿日:2018年10月12日
  • 脅威カテゴリ:フィッシング
  • 執筆:Trend Micro Cyber Safety Solutions Team
0

通常、フィッシング攻撃では、本物に見える偽メールを利用し、添付した不正ファイルやテキストに埋め込んだ不正リンクを通してユーザの情報を窃取します。このような単純な手口を知っているユーザであれば気付くのは比較的容易です。しかし、2018 年 9 月のスパムメール送信活動では、より巧妙で気づかれにくい形の不正メールが確認されました。この攻撃では、乗っ取ったメールアカウントが利用され、既存スレッドに返信する形でマルウェアが添付された不正メールが送信されました。この不正メールは、進行中の会話の一部となっているため、気付くことがより困難です。ユーザは、手遅れになるまでサイバー攻撃を受けていることに気付くことができないかもしれません。

この攻撃は、2018年前半に Talos によって確認された、オンライン銀行詐欺ツール(バンキングトロジャン)「URSNIF(アースニフ)、別名:GOZI」を拡散するスパムメール送信活動とよく似ています。このスパムメール送信活動では、ボットネット「Dark Cloud」の一部となった乗っ取られた PC が利用され、既存のスレッドに対する返信として不正メールが送信されました。本記事で解説する攻撃は、もしかするとこの活動が継続または変化したものだと考えられます。

2018 年 10 月 9 日までに収集した情報によると、この攻撃活動は主に北米と欧州に影響を与えていますが、アジアおよび中南米地域でも類似した攻撃が確認されています。また、対象は教育、金融および電力業界のユーザが大半であるものの、不動産、運輸、製造業界、および政府系組織にも影響を与えています。

(さらに…)

続きを読む
Tags: URSNIF

「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避
  • 投稿日:2017年11月20日
  • 脅威カテゴリ:メール, TrendLabs Report, 感染媒体
  • 執筆:Trend Micro
0

「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避不正なマクロは、マルウェア拡散に広く利用されています。通常、スパムメール経由で送信されたファイルのマクロがユーザによって有効にされると、次に PowerShellスクリプトを実行し、ランサムウェアやその他のマルウェアがダウンロードされることになります。

トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。

図1
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー

(さらに…)

続きを読む
Tags: マクロバンキングトロジャンオンライン銀行詐欺ツールサンドボックス回避URSNIF

新たに「ビットコイン」を狙う「URSNIF」を国内で確認
  • 投稿日:2017年8月4日
  • 脅威カテゴリ:不正プログラム, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

新たに仮想通貨取引所を狙う「URSNIF」を国内で確認

「ビットコイン(BTC)」の分裂騒動などで注目が集まる仮想通貨ですが、サイバー犯罪者もその存在に注目しているようです。国内ネットバンキングを狙う不正プログラム「オンライン銀行詐欺ツール(バンキングトロジャン)」に関してトレンドマイクロが継続して行っている調査の中で、現在日本で最も拡散しているバンキングトロジャンである「URSNIF(アースニフ)」(別名:「DreamBot(ドリームボット)」)が、従来から標的にしている銀行やクレジットカードなどの各種金融機関のサイトに加え、新たに仮想通貨取引所サイトを狙っていることを確認しました。仮想通貨取引所サイトへのログイン時などに普段と異なる表示が出た場合は安易に情報を入力せず、サイト側へ確認してください。既に日本サイバー犯罪対策センター(JC3)からも注意喚起が出されておりますが、今後の拡散には注意が必要です。

(さらに…)

続きを読む
Tags: 仮想通貨ビットコインDreamBotURSNIF

国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用
  • 投稿日:2017年6月8日
  • 脅威カテゴリ:不正プログラム, サイバー犯罪, サイバー攻撃, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用

2017年5月19日の本ブログ記事でも取り上げた大規模なメール拡散事例など、国内ネットバンキングを狙う不正プログラムの活動が再び活発化しています。実際に拡散されるオンライン銀行詐欺ツールは、「URSNIF(アースニフ)」(別名「DreamBot(ドリームボット)」)に集中しており、現在日本のネットバンキングを狙う不正プログラムとして中心的な存在となっています。この 5月中旬の大規模メール拡散事例以降に入手した「URSNIF」の活動を解析したトレンドマイクロのエンジニアは、「Bootkit(ブートキット)」と呼ばれる特殊な不正プログラムをコンピュータに感染させ、自身の感染の痕跡を消去する巧妙な活動の存在を突き止めました。メール経由の拡散の活発化とほぼ同時に、新たに巧妙な活動を取り入れた亜種が登場したことになります。

(さらに…)

続きを読む
Tags: ネットバンキングアースニフBootkitDreamBotURSNIF

国内ネットバンキングを狙う「URSNIF」が再び日本語メールで拡散
  • 投稿日:2016年7月1日
  • 脅威カテゴリ:対策技術, 不正プログラム, サイバー犯罪, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

先日お伝えした記事に続き、国内ネットバンキングを狙う「URSNIF(アースニフ、別名:GOZI)」が再び電子メール経由で拡散していることが確認されました。攻撃の内容自体に大きな変化はなく、様々な件名や内容の日本語マルウェアスパムが着信し、受信者が添付ファイルを開いてしまうとインターネット上の不正サイトからのダウンロードにより最終的に「URSNIF」が侵入します。前回は5月末から6月7日までのおよそ10日間で3万件以上のマルウェアスパムが観測され、その後も小規模に継続していました。そして今回は6月27日からの2日間だけで4万件を観測と前回の拡散を上回る規模となっています。オンライン銀行詐欺ツールの本体である「TSPY_URSNIF」の検出台数推移を見ても、6月27日以降に急増し5月以降最大の検出台数となっているため、攻撃者がより大きな規模の攻撃を仕掛けていることは間違いありません。

図1: 日本国内での「TSPY_URSNIF」の検出台数推移
図1: 日本国内での「TSPY_URSNIF」の検出台数推移

(さらに…)

続きを読む
Tags: ネットバンキング

国内ネットバンキングを狙う「URSNIF」が新たに拡散中
  • 投稿日:2016年6月15日
  • 脅威カテゴリ:不正プログラム, スパムメール, スパイウェア, サイバー犯罪, Webからの脅威
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

2016年に入り、ランサムウェアが一層の猛威を振るっていますが、その裏で国内ネットバンキングを狙うオンライン銀行詐欺ツールも活発化が見られています。トレンドマイクロではこの 5月末以降、オンライン銀行詐欺ツール「URSNIF(アースニフ)」の電子メール経由での拡散を国内で確認しました。トレンドマイクロの調査では、今回拡散している「URSNIF」(別名:GOZI)では、地方銀行などの中小金融機関を中心に 40件弱の国内ネットバンキングを狙うものも確認されています。

図1:日本国内での「TSPY_URSNIF」の検出台数推移
図1:日本国内での「TSPY_URSNIF」の検出台数推移

(さらに…)

続きを読む

複数の機能を備える「URSNIF」、ファイル感染機能を追加
  • 投稿日:2015年4月1日
  • 脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report
  • 執筆:Threat Response Engineer - RonJay Caragay
0

「URSNIF」は、もとより情報を収集する不正プログラムとして周知されていましたが、さまざまな機能を備えていることでも知られ、例えば、バックドア型不正プログラム「BKDR_URSNIF.SM」や情報窃取型不正プログラム「TSPY_URSNIF.YNJ」、が「URSNIF」の亜種として挙げられます。そして2014年末、ファイル感染機能を追加した「PE_URSNIF.A-O」が確認されました。

(さらに…)

続きを読む
Tags: URSNIF

身代金要求に被害組織名を記載、標的型攻撃にランサムウェアを利用か?
  • 投稿日:2019年4月26日
  • 脅威カテゴリ:不正プログラム, サイバー攻撃
  • 執筆:Trend Micro
0

2018年において、ランサムウェアによる攻撃は減少傾向にありましたが、最近は再び元の勢いを取り戻しつつあるようです。しかしながら、今回確認されたランサムウェア攻撃は以前のようなばらまき型の攻撃に比べると標的を絞っているように見受けられます。身代金要求文書に社名が記載された米国の飲料会社に対するランサムウェア攻撃のニュースが発表された直後、トレンドマイクロは米国の製造会社を攻撃した暗号化型ランサムウェア「BitPaymer」の亜種(「Ransom.Win32.BITPAYMER.TGACAJとして検出)を調査しました。飲料会社の事例と同様に身代金要求文書に社名が記載されていたことから、この事例も標的型の攻撃だった可能性があります。
(さらに…)

続きを読む
Tags: ランサムウェアBitPaymerPsExec

「Powload」の手口の変化:ファイルレスな活動からステガノグラフィまで
  • 投稿日:2019年3月19日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

「Powload」はPowerShellを利用するマクロ型のダウンローダです。多くの場合、不正なマクロを含むOfficeの文書ファイルとしてメールに添付され、被害者のPCに感染します。感染PCに他のマルウェアをダウンロードし感染させる「Powload」は、脅威動向の中で存在感を示し続けています。

■Powloadの検出数および固有な検体数の増加

トレンドマイクロが2018年に検出したPowloadに関連する事例と固有の検体数は、2017年と比較して著しく増加しました。拡散手法としてスパムメールを利用する点には変化がないものの、ファイルを利用しない手口によって文書ファイルのプレビューモードのような緩和策を回避したり、メールアカウントを乗っ取って既存スレッドに返信するなど、さまざまな手口が確認されています。

Powloadの検出数固有の検体数

図1: Powloadの検出数(左)と固有の検体数の推移(右)
数値はトレンドマイクロのクラウド型セキュリティ技術基盤
「Trend Micro Smart Protection Network™(SPN)」における毎月の検出数上位10種の合計に基づく

(さらに…)

続きを読む
Tags: BEBLOHCUTWAILEMOTETPowloadURSNIF

Word文書のオンラインビデオに、不正なURLを隠ぺいする手口を解説
  • 投稿日:2018年12月18日
  • 脅威カテゴリ:不正プログラム, スパムメール
  • 執筆:Trend Micro
0

2018年10月下旬、セキュリティ企業「Cymulate」のセキュリティリサーチャは、Microsoft Officeのオンラインビデオの埋め込み機能を攻撃者に悪用された場合にマルウェアの拡散が可能になる概念実証(Proof of Concept、PoC)を発表しました。トレンドマイクロは、実際にこの手法を利用して、情報窃取型マルウェア「URSNIF(アースニフ)」(「TSPY_URSNIF.OIBEAO」として検出)を拡散するマルウェア(「TROJ_EXPLOIT.AOOCAI」として検出)を、オンラインスキャンサービス「VirusTotal」で確認しました。

(さらに…)

続きを読む
Tags: アースニフスパムメールURSNIF
Page 1 of 412 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2019 Trend Micro Incorporated. All rights reserved.