ホーム » Search results for: URSNIF

乗っ取ったメールアカウントを利用し、既存スレッドへの返信で「URSNIF」を拡散するスパムメール送信活動を確認

投稿日:2018年10月12日
脅威カテゴリ:フィッシング
執筆:Trend Micro Cyber Safety Solutions Team

通常、フィッシング攻撃では、本物に見える偽メールを利用し、添付した不正ファイルやテキストに埋め込んだ不正リンクを通してユーザの情報を窃取します。このような単純な手口を知っているユーザであれば気付くのは比較的容易です。しかし、2018 年 9 月のスパムメール送信活動では、より巧妙で気づかれにくい形の不正メールが確認されました。この攻撃では、乗っ取ったメールアカウントが利用され、既存スレッドに返信する形でマルウェアが添付された不正メールが送信されました。この不正メールは、進行中の会話の一部となっているため、気付くことがより困難です。ユーザは、手遅れになるまでサイバー攻撃を受けていることに気付くことができないかもしれません。

この攻撃は、2018年前半に Talos によって確認された、オンライン銀行詐欺ツール（バンキングトロジャン）「URSNIF（アースニフ）、別名：GOZI」を拡散するスパムメール送信活動とよく似ています。このスパムメール送信活動では、ボットネット「Dark Cloud」の一部となった乗っ取られた PC が利用され、既存のスレッドに対する返信として不正メールが送信されました。本記事で解説する攻撃は、もしかするとこの活動が継続または変化したものだと考えられます。

2018 年 10 月 9 日までに収集した情報によると、この攻撃活動は主に北米と欧州に影響を与えていますが、アジアおよび中南米地域でも類似した攻撃が確認されています。また、対象は教育、金融および電力業界のユーザが大半であるものの、不動産、運輸、製造業界、および政府系組織にも影響を与えています。

(さらに…)

「URSNIF」の新手法：マクロを利用してサンドボックス検出を回避

投稿日:2017年11月20日
脅威カテゴリ:メール, TrendLabs Report, 感染媒体
執筆:Trend Micro

「URSNIF」の新手法：マクロを利用してサンドボックス検出を回避不正なマクロは、マルウェア拡散に広く利用されています。通常、スパムメール経由で送信されたファイルのマクロがユーザによって有効にされると、次に PowerShellスクリプトを実行し、ランサムウェアやその他のマルウェアがダウンロードされることになります。

トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET（エモテット）」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。

不正なマクロと PowerShell を利用する「EMOTET」の感染フロー

(さらに…)

新たに「ビットコイン」を狙う「URSNIF」を国内で確認

新たに仮想通貨取引所を狙う「URSNIF」を国内で確認

「ビットコイン（BTC）」の分裂騒動などで注目が集まる仮想通貨ですが、サイバー犯罪者もその存在に注目しているようです。国内ネットバンキングを狙う不正プログラム「オンライン銀行詐欺ツール（バンキングトロジャン）」に関してトレンドマイクロが継続して行っている調査の中で、現在日本で最も拡散しているバンキングトロジャンである「URSNIF（アースニフ）」（別名：「DreamBot（ドリームボット）」）が、従来から標的にしている銀行やクレジットカードなどの各種金融機関のサイトに加え、新たに仮想通貨取引所サイトを狙っていることを確認しました。仮想通貨取引所サイトへのログイン時などに普段と異なる表示が出た場合は安易に情報を入力せず、サイト側へ確認してください。既に日本サイバー犯罪対策センター（JC3）からも注意喚起が出されておりますが、今後の拡散には注意が必要です。

(さらに…)

国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用

2017年5月19日の本ブログ記事でも取り上げた大規模なメール拡散事例など、国内ネットバンキングを狙う不正プログラムの活動が再び活発化しています。実際に拡散されるオンライン銀行詐欺ツールは、「URSNIF（アースニフ）」（別名「DreamBot（ドリームボット）」）に集中しており、現在日本のネットバンキングを狙う不正プログラムとして中心的な存在となっています。この 5月中旬の大規模メール拡散事例以降に入手した「URSNIF」の活動を解析したトレンドマイクロのエンジニアは、「Bootkit（ブートキット）」と呼ばれる特殊な不正プログラムをコンピュータに感染させ、自身の感染の痕跡を消去する巧妙な活動の存在を突き止めました。メール経由の拡散の活発化とほぼ同時に、新たに巧妙な活動を取り入れた亜種が登場したことになります。

(さらに…)

国内ネットバンキングを狙う「URSNIF」が再び日本語メールで拡散

先日お伝えした記事に続き、国内ネットバンキングを狙う「URSNIF（アースニフ、別名：GOZI）」が再び電子メール経由で拡散していることが確認されました。攻撃の内容自体に大きな変化はなく、様々な件名や内容の日本語マルウェアスパムが着信し、受信者が添付ファイルを開いてしまうとインターネット上の不正サイトからのダウンロードにより最終的に「URSNIF」が侵入します。前回は5月末から6月7日までのおよそ10日間で3万件以上のマルウェアスパムが観測され、その後も小規模に継続していました。そして今回は6月27日からの2日間だけで4万件を観測と前回の拡散を上回る規模となっています。オンライン銀行詐欺ツールの本体である「TSPY_URSNIF」の検出台数推移を見ても、6月27日以降に急増し5月以降最大の検出台数となっているため、攻撃者がより大きな規模の攻撃を仕掛けていることは間違いありません。

図1: 日本国内での「TSPY_URSNIF」の検出台数推移

(さらに…)

国内ネットバンキングを狙う「URSNIF」が新たに拡散中

投稿日:2016年6月15日
脅威カテゴリ:不正プログラム, スパムメール, スパイウェア, サイバー犯罪, Webからの脅威
執筆:セキュリティエバンジェリスト岡本　勝之

2016年に入り、ランサムウェアが一層の猛威を振るっていますが、その裏で国内ネットバンキングを狙うオンライン銀行詐欺ツールも活発化が見られています。トレンドマイクロではこの 5月末以降、オンライン銀行詐欺ツール「URSNIF（アースニフ）」の電子メール経由での拡散を国内で確認しました。トレンドマイクロの調査では、今回拡散している「URSNIF」（別名：GOZI）では、地方銀行などの中小金融機関を中心に 40件弱の国内ネットバンキングを狙うものも確認されています。

図1：日本国内での「TSPY_URSNIF」の検出台数推移

(さらに…)

複数の機能を備える「URSNIF」、ファイル感染機能を追加

投稿日:2015年4月1日
脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report
執筆:Threat Response Engineer - RonJay Caragay

「URSNIF」は、もとより情報を収集する不正プログラムとして周知されていましたが、さまざまな機能を備えていることでも知られ、例えば、バックドア型不正プログラム「BKDR_URSNIF.SM」や情報窃取型不正プログラム「TSPY_URSNIF.YNJ」、が「URSNIF」の亜種として挙げられます。そして2014年末、ファイル感染機能を追加した「PE_URSNIF.A-O」が確認されました。

(さらに…)

変化を続けるマルウェア「EMOTET」の被害が国内でも拡大

メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC＆Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。

図1：国内でのEMOTET検出台数推移

(さらに…)

身代金要求に被害組織名を記載、標的型攻撃にランサムウェアを利用か？

2018年において、ランサムウェアによる攻撃は減少傾向にありましたが、最近は再び元の勢いを取り戻しつつあるようです。しかしながら、今回確認されたランサムウェア攻撃は以前のようなばらまき型の攻撃に比べると標的を絞っているように見受けられます。身代金要求文書に社名が記載された米国の飲料会社に対するランサムウェア攻撃のニュースが発表された直後、トレンドマイクロは米国の製造会社を攻撃した暗号化型ランサムウェア「BitPaymer」の亜種（「Ransom.Win32.BITPAYMER.TGACAJとして検出）を調査しました。飲料会社の事例と同様に身代金要求文書に社名が記載されていたことから、この事例も標的型の攻撃だった可能性があります。
(さらに…)

「Powload」の手口の変化：ファイルレスな活動からステガノグラフィまで

投稿日:2019年3月19日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

「Powload」はPowerShellを利用するマクロ型のダウンローダです。多くの場合、不正なマクロを含むOfficeの文書ファイルとしてメールに添付され、被害者のPCに感染します。感染PCに他のマルウェアをダウンロードし感染させる「Powload」は、脅威動向の中で存在感を示し続けています。

■Powloadの検出数および固有な検体数の増加

トレンドマイクロが2018年に検出したPowloadに関連する事例と固有の検体数は、2017年と比較して著しく増加しました。拡散手法としてスパムメールを利用する点には変化がないものの、ファイルを利用しない手口によって文書ファイルのプレビューモードのような緩和策を回避したり、メールアカウントを乗っ取って既存スレッドに返信するなど、さまざまな手口が確認されています。

図1： Powloadの検出数（左）と固有の検体数の推移（右）
数値はトレンドマイクロのクラウド型セキュリティ技術基盤
「Trend Micro Smart Protection Network™（SPN）」における毎月の検出数上位10種の合計に基づく

(さらに…)

Page 1 of 412 › »