ホーム » Search results for: URSNIF

乗っ取ったメールアカウントを利用し、既存スレッドへの返信で「URSNIF」を拡散するスパムメール送信活動を確認

投稿日:2018年10月12日
脅威カテゴリ:フィッシング
執筆:Trend Micro Cyber Safety Solutions Team

通常、フィッシング攻撃では、本物に見える偽メールを利用し、添付した不正ファイルやテキストに埋め込んだ不正リンクを通してユーザの情報を窃取します。このような単純な手口を知っているユーザであれば気付くのは比較的容易です。しかし、2018 年 9 月のスパムメール送信活動では、より巧妙で気づかれにくい形の不正メールが確認されました。この攻撃では、乗っ取ったメールアカウントが利用され、既存スレッドに返信する形でマルウェアが添付された不正メールが送信されました。この不正メールは、進行中の会話の一部となっているため、気付くことがより困難です。ユーザは、手遅れになるまでサイバー攻撃を受けていることに気付くことができないかもしれません。

この攻撃は、2018年前半に Talos によって確認された、オンライン銀行詐欺ツール（バンキングトロジャン）「URSNIF（アースニフ）、別名：GOZI」を拡散するスパムメール送信活動とよく似ています。このスパムメール送信活動では、ボットネット「Dark Cloud」の一部となった乗っ取られた PC が利用され、既存のスレッドに対する返信として不正メールが送信されました。本記事で解説する攻撃は、もしかするとこの活動が継続または変化したものだと考えられます。

2018 年 10 月 9 日までに収集した情報によると、この攻撃活動は主に北米と欧州に影響を与えていますが、アジアおよび中南米地域でも類似した攻撃が確認されています。また、対象は教育、金融および電力業界のユーザが大半であるものの、不動産、運輸、製造業界、および政府系組織にも影響を与えています。

(さらに…)

「URSNIF」の新手法：マクロを利用してサンドボックス検出を回避

投稿日:2017年11月20日
脅威カテゴリ:メール, TrendLabs Report, 感染媒体
執筆:Trend Micro

「URSNIF」の新手法：マクロを利用してサンドボックス検出を回避不正なマクロは、マルウェア拡散に広く利用されています。通常、スパムメール経由で送信されたファイルのマクロがユーザによって有効にされると、次に PowerShellスクリプトを実行し、ランサムウェアやその他のマルウェアがダウンロードされることになります。

トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET（エモテット）」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。

不正なマクロと PowerShell を利用する「EMOTET」の感染フロー

(さらに…)

新たに「ビットコイン」を狙う「URSNIF」を国内で確認

新たに仮想通貨取引所を狙う「URSNIF」を国内で確認

「ビットコイン（BTC）」の分裂騒動などで注目が集まる仮想通貨ですが、サイバー犯罪者もその存在に注目しているようです。国内ネットバンキングを狙う不正プログラム「オンライン銀行詐欺ツール（バンキングトロジャン）」に関してトレンドマイクロが継続して行っている調査の中で、現在日本で最も拡散しているバンキングトロジャンである「URSNIF（アースニフ）」（別名：「DreamBot（ドリームボット）」）が、従来から標的にしている銀行やクレジットカードなどの各種金融機関のサイトに加え、新たに仮想通貨取引所サイトを狙っていることを確認しました。仮想通貨取引所サイトへのログイン時などに普段と異なる表示が出た場合は安易に情報を入力せず、サイト側へ確認してください。既に日本サイバー犯罪対策センター（JC3）からも注意喚起が出されておりますが、今後の拡散には注意が必要です。

(さらに…)

国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用

2017年5月19日の本ブログ記事でも取り上げた大規模なメール拡散事例など、国内ネットバンキングを狙う不正プログラムの活動が再び活発化しています。実際に拡散されるオンライン銀行詐欺ツールは、「URSNIF（アースニフ）」（別名「DreamBot（ドリームボット）」）に集中しており、現在日本のネットバンキングを狙う不正プログラムとして中心的な存在となっています。この 5月中旬の大規模メール拡散事例以降に入手した「URSNIF」の活動を解析したトレンドマイクロのエンジニアは、「Bootkit（ブートキット）」と呼ばれる特殊な不正プログラムをコンピュータに感染させ、自身の感染の痕跡を消去する巧妙な活動の存在を突き止めました。メール経由の拡散の活発化とほぼ同時に、新たに巧妙な活動を取り入れた亜種が登場したことになります。

(さらに…)

国内ネットバンキングを狙う「URSNIF」が再び日本語メールで拡散

先日お伝えした記事に続き、国内ネットバンキングを狙う「URSNIF（アースニフ、別名：GOZI）」が再び電子メール経由で拡散していることが確認されました。攻撃の内容自体に大きな変化はなく、様々な件名や内容の日本語マルウェアスパムが着信し、受信者が添付ファイルを開いてしまうとインターネット上の不正サイトからのダウンロードにより最終的に「URSNIF」が侵入します。前回は5月末から6月7日までのおよそ10日間で3万件以上のマルウェアスパムが観測され、その後も小規模に継続していました。そして今回は6月27日からの2日間だけで4万件を観測と前回の拡散を上回る規模となっています。オンライン銀行詐欺ツールの本体である「TSPY_URSNIF」の検出台数推移を見ても、6月27日以降に急増し5月以降最大の検出台数となっているため、攻撃者がより大きな規模の攻撃を仕掛けていることは間違いありません。

図1: 日本国内での「TSPY_URSNIF」の検出台数推移

(さらに…)

国内ネットバンキングを狙う「URSNIF」が新たに拡散中

投稿日:2016年6月15日
脅威カテゴリ:不正プログラム, スパムメール, スパイウェア, サイバー犯罪, Webからの脅威
執筆:セキュリティエバンジェリスト岡本　勝之

2016年に入り、ランサムウェアが一層の猛威を振るっていますが、その裏で国内ネットバンキングを狙うオンライン銀行詐欺ツールも活発化が見られています。トレンドマイクロではこの 5月末以降、オンライン銀行詐欺ツール「URSNIF（アースニフ）」の電子メール経由での拡散を国内で確認しました。トレンドマイクロの調査では、今回拡散している「URSNIF」（別名：GOZI）では、地方銀行などの中小金融機関を中心に 40件弱の国内ネットバンキングを狙うものも確認されています。

図1：日本国内での「TSPY_URSNIF」の検出台数推移

(さらに…)

複数の機能を備える「URSNIF」、ファイル感染機能を追加

投稿日:2015年4月1日
脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report
執筆:Threat Response Engineer - RonJay Caragay

「URSNIF」は、もとより情報を収集する不正プログラムとして周知されていましたが、さまざまな機能を備えていることでも知られ、例えば、バックドア型不正プログラム「BKDR_URSNIF.SM」や情報窃取型不正プログラム「TSPY_URSNIF.YNJ」、が「URSNIF」の亜種として挙げられます。そして2014年末、ファイル感染機能を追加した「PE_URSNIF.A-O」が確認されました。

(さらに…)

マルウェアがSSL/TLS証明書を悪用する手口を解説

投稿日:2021年10月5日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

近年のマルウェアは、自身のネットワークトラフィックを隠匿するために暗号化を行うことが増えています。一般的なネットワーク通信の暗号化が普及していることを考えると、これは当然のこととも言えます。Googleの透明性レポートでは、Google Chromeブラウザを経由するネットワークトラフィックの大部分はHTTPSトラフィックであることが報告されています。

トレンドマイクロでは過去6年間で、汎用性の高いマルウェアおよび標的型攻撃に用いられるマルウェアの両方で暗号化が多用されていることを確認しています。これらの暗号化は、検出回避や暗号化された通常のトラフィックに不正な通信内容を混入させるために行われます。マルウェアだけでなく、Cobalt Strike、Metasploit、Core Impactなどの商用のペネトレーションテスト（侵入テスト）ツールでも暗号化が用いられています。これらの事例における証明書の利用は多くの場合、SSL/TLS暗号化通信で通常使用されるX.509証明書の利用にまで及びます。

(さらに…)

「Lazarus」との関連が指摘されるRAT「DACLS」、macOSも標的に

ワンタイムパスワード（OTP）とは、あるユーザに一定時間で変更される一回のみ利用可能なパスワードを通知することによって、オンラインサービスのセキュリティを高めるための仕組みです。多くの法人ネットワークでは、サードパーティのプロバイダによって提供されるOTPのシステムを利用し、アカウントの侵害によりシステムへ不正侵入されることを防ぐ追加の認証として使用しています。

トレンドマイクロは、2020年4月、macOS向けの正規OTP認証アプリを偽装した「TinkaOTP」というアプリを確認しました。調査の結果、この不正アプリは「DACLS（ダクルス）」と呼ばれる遠隔操作ツール（RAT）に酷似していることがわかりました。DACLSは、2019年12月にセキュリティ企業「360 Netlab」によって報告された、WindowsおよびLinuxをターゲットとするバックドア型マルウェアです。この報告によれば、不正アプリが接続するコマンドアンドコントロール（C＆C）サーバが通信に使用する文字列から、サイバー犯罪集団「Lazarus」との繋がりが示唆されています。 (さらに…)

変化を続けるマルウェア「EMOTET」の被害が国内でも拡大

メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC＆Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。

図1：国内でのEMOTET検出台数推移

(さらに…)

Page 1 of 412 › »