ブラジルの銀行ユーザを狙いバンキングトロジャンを送り込む攻撃を解析、「ファイルレスな活動」も確認

トレンドマイクロは、複数のリサーチャによってオンラインで報告された不正なバッチファイル(拡張子:BAT)を取得し、ファイルを利用しない活動を含む一連の攻撃を解析しました。このバッチファイルは、PowerShellスクリプトをダウンロードして実行することで、ブラジルの3つの銀行「Banco Bradesco」、「Banco do Brasil」、「Sicredi」を狙うバンキングトロジャン(オンライン銀行詐欺ツール)、Outlookの連絡先やPCの認証情報などを窃取する情報窃取型マルウェア、およびハッキングツール「RADMIN」を感染PCに送り込みます。検出数の多い国はブラジルと台湾でした。

この攻撃で窃取された個人情報(Personal Identifiable Information、PII)は、ユーザの銀行口座へのアクセス以外に、さらなる攻撃に悪用されたり、販売されたりする恐れがあります。トレンドマイクロは、狙われた3行が広範な金融サービスと顧客ベースを持っていること、そしてこの攻撃がボットネットの構築やメールの大量送信のような攻撃に発展する可能性を踏まえ、引き続きこの脅威を監視しています。

■攻撃の流れ

図1は問題のバッチファイルから始まる一連の攻撃を図示したものです。トレンドマイクロは、このバッチファイルがメールに添付されていたことを確認しています。

攻撃の流れ

図1:攻撃の流れ

■マルウェアとファイルのダウンロードおよび実行

バッチファイル(「Trojan.BAT.BANLOAD.THBAIAI」として検出)は、「hxxp://35[.]227[.]52[.]26/loads/20938092830482」にアクセスし、ホストされている不正なPowerShellスクリプトを取得して実行します。これはファイルを利用しないことによって検出を避けようとする手口です。

PowerShellスクリプトをダウンロードして実行するバッチファイル

図2:PowerShellスクリプトをダウンロードして実行するバッチファイル

バッチファイルがアクセスする不正なPowerShellスクリプト

図3:バッチファイルがアクセスする不正なPowerShellスクリプト

この不正なPowerShellは、「hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip」に接続し、不正なファイルをダウンロードして実行します。その他のリサーチャらによって報告されているように、ダウンロードしたファイルは、Windowsの正規ファイルを装った名前に変更して保存されます。

ダウンロードしたファイルをWindowsの正規ファイルを装ったファイル名に変更して保存

図4:ダウンロードしたファイルをWindowsの正規ファイルを装ったファイル名に変更して保存

■認証情報とメールアドレスの窃取

PowerShellスクリプトは、ショートカットファイル(拡張子:LNK)をスタートアップフォルダに作成し、約3分後にPCを再起動します。PCが再起動すると、LNKファイルが情報窃取型マルウェア(「TrojanSpy.Win32.BANRAP.AS」として検出)を実行します。このマルウェアは偽のロック画面を表示し、ユーザにユーザ名とパスワードを入力させます。認証情報が間違っていた場合、Windowsのセキュリティログオン機能を使用してそれを検知し、再度正しい認証情報を入力するようにユーザに通知します。入力された認証情報はコマンド&コントロール(C&C)サーバに送信されます。

偽のロック画面

図5:偽のロック画面

その後すぐ、スタートアップフォルダに作成されたファイルとフォルダを削除することで活動を隠ぺいします。また、Outlookを開き、保存されているメールアドレスを収集してC&Cサーバに送信します。感染PCにOutlookがインストールされていない場合、この手順はスキップし残りの機能を実行します。

Outlookからメールアドレスを収集

図6:Outlookからメールアドレスを収集

この情報窃取型マルウェアは、実行されている環境がWindows7、8、8.1、10以外の場合、自身を終了します。なぜなら、メールアドレスおよびGoogle Chromeの「Login Data」を収集し、OpenSSLを使用してC&Cサーバに暗号化したデータを送信するライブラリはWindows XP以前のOSに対応していないためです。

■ハッキングツール「RADMIN」のインストール

続いて、遠隔からPCを操作するためのハッキングツール「RADMIN」(「HKTL_RADMIN」として検出)を作成しおよびインストールします。この時、設定ファイルをリポジトリホスティングサービス「GitHub」からダウンロードし、デスクトップに「RDP Wrapper」というフォルダを作成します。また、レジストリに設定を追加することにより、すべてのリモートアクセス活動を隠ぺいします。これにより、窃取した認証情報と合わせて、感染PCを完全に管理することが可能になります。ユーザがログオフすると、攻撃者は感染PCを探索し、管理者権限を取得し、気付かれないようにユーザの画面を共有することが可能です。

インストールされたハッキングツール「HKTL_RADMIN」

図7:インストールされたハッキングツール「HKTL_RADMIN」

利用されているRADMINはWindows 7より前のWindowsには対応していません。

■バンキングトロジャンをロード

再起動後およびユーザのログイン後、上述した情報窃取型マルウェア「TrojanSpy.Win32.BANRAP.AS」は、不正なファイルを実行するためにGoogle Chromeのショートカットファイルをすべて検知し、参照先を「cmd.exe /C copy “C:\Users\Public\Chrome.LNK” ,”%Application Data%\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\Google Chrome.LNK」に変更した不正なショートカットファイルに置き換えます。これにより、Chrome拡張機能としてバンキングトロジャン(「Trojan.JS.BANKER.THBAIAI」として検出)を読み込むバッチファイルを作成します。このバンキングトロジャンは、PC内で「cvv」や「digo de seguran(ポルトガル語でセキュリティコードの意)」といった特定の文字列を検索し、ユーザが訪問したWebサイトで「#signin」や「#login-signin」のようなボタンのクリックを検知し情報をC&Cサーバに送信します。開発者ツールやデバッガが開かれていることを検知すると動作を停止します。

■まとめ

最初の調査から記事執筆までの数時間の間に関連するDLLのコードが更新されていることから分かるように、背後にいる攻撃者は常に今回の脅威を変化させています。さらに、特にRADMINを含むペイロードの機能の組み合わせは、感染PCがボットネット構築のために悪用されるのではという疑いを引き起こすものです。攻撃者は、3つの銀行とその顧客から情報を収集しながら、将来のより大きな攻撃に備えて研究開発を行っている段階にいるのかもしれません。

銀行はサイバー犯罪者が狙う一番の標的です。銀行が顧客に提供するオンラインバンキングサービスは、システム、顧客、関連サービス、および子会社を介して侵入するための攻撃経路の拡大を意味します。今回標的とされた3行がブラジルおよび中南米地域における最大規模の銀行であることを考慮すると、感染および攻撃の侵入経路として利用され得る企業およびユーザの数も大きなものとなります。

オンラインバンキングの認証情報を窃取と、感染PCへの遠隔からのアクセスに加え、企業から収集したメールアドレスとユーザの連絡先は、メールを利用した大規模な標的型攻撃に利用される恐れもあります。攻撃者は、窃取した大量のメールアドレスから標的を選択し、持ち主になりすましてフィッシングやビジネスメール詐欺(BEC)を行うことで企業および個人にさらなる損害を与えるかもしれません。

検出回避機能を持つマルウェアは新しいものではありません。そのような手口は今後もマルウェアを検出およびブロックする技術に挑戦し続けるでしょう。ファイルを利用しない脅威について学び、対処することが重要です。

■トレンドマイクロの対策

以下のセキュリティ対策製品/ソリューションはこのような脅威からユーザを保護します。

■侵入の痕跡(Indicators of Compromise、IoC)

本記事で解説した脅威の検出名とSHA256値は以下の通りです。

SHA256値 検出名
adfcac0a7af10c1a85ae2b8663905ba3f3fd7cf4d276c967bd26f8a3ba82a7f2 Trojan.BAT.BANLOAD.AA
ac92d4c6397eb4451095949ac485ef4ec38501d7bb6f475419529ae67e297753 HKTL_RADMIN
85ec67bc6c10feb5d4e03a62ea0fb98fadb47afbae4aa66f29297786ca53abb8 Trojan.BAT.BANLOAD.THBAIAI
fd2475be3feb0de7d5dc7ba8a74ea5025fc45a37c049a88761d5979325d3c26d
2ce6aa0d32fdec596f253dc513ea9a28bad3bd400a977e71db9362a8c72d1205
eea9fd7e9c947199f348780015caa1a8ea62eb0240f3452bc28bc6a1217bafde
Trojan.JS.BANKER.THBAIAI
622503d394fbe9388375ed399fc0d1bb21a826b952e72018a556fa14a484194e TrojanSpy.Win32.BANRAP.AS

関連するURLは以下の通りです。

  • chadikaysora[.]com
  • hxxps://lt99[.]ddns[.]net/al/index.php
  • hxxps://lt99[.]ddns[.]net/logsD/index.php?CHLG
  • hxxps://raw[.]githubusercontent[.]com/stascorp/rdpwrap/master/res/rdpwrap.ini
  • hxxp://35[.]227[.]52[.]26/loads/20938092830482
  • hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)