「MISPADU(ミスパドゥ)」は、ユーザのPCから認証情報を窃取するマルウェアです。「URSA」の別名を持つこのマルウェアは一般的にはオンライン銀行詐欺ツール(バンキングトロジャン)に分類されており、トレンドマイクロでは「TrojanSpy.Win32.MISPADU.THIADBO」として検出します。MISPADUは2019年後半にマルウェアスパムやFacebook上の不正広告などを経由した拡散が報告されました。そして2020年の後半から再度メール経由の拡散活動(スパムキャンペーン)が、マルウェア解析者であるPedro Tavares氏によって発見され、Twitterおよびセキュリティブログ「Segurança Informática」で報告されています。2019年の攻撃ではメキシコやブラジルなどラテンアメリカの国で観測されました。今回2020年の攻撃でも、システム言語にスペイン語またはポルトガル語を使用するPCが標的となっており、メキシコ、スペイン、ポルトガル、その他の近隣地域のユーザを標的にしていると推測されます。
■スパムキャンペーンの分析
2020年に報告された事例におけるMISPADUの侵入経路はマルウェアスパムです。サイバー犯罪者は、延滞請求書を参照するよう促すメッセージを送りつけることで、一見緊急の状況を作り出し、冷静さを欠いた受信者に指定URLからZIPファイルをダウンロードするよう指示します。
上述のZIPファイルは、VBScriptを利用したMSI(Microsoft Installer)ファイルを含んでいます。MSIファイルは三層構造の難読化が施されており、難読化を解除すると、最後の層にAutoITローダあるいはインジェクタを実行するVBScriptファイルが表示されます。
最下層のVBScriptは、オペレーティングシステム(OS)のバージョンに関するデータも取得します。VBScriptは、以下のような仮想環境を検出すると自身の実行を終了します。これは自身の活動を動的解析されることを防ぐためと考えられます。
- Hyper-V
- VirtualBox
- VMWare
また、システムが以下のいずれかの言語を使用しているかどうかも確認します。
| 言語 | 言語コード |
| Spanish – Spain (Traditional) | 1034 |
| Portuguese – Brazil | 1046 |
| Spanish – Mexico | 2058 |
| Portuguese – Portugal | 2070 |
| Spanish | 58378, 3082 |
表1
前述のように攻撃者は、上記(表1)のいずれかを使用言語に設定するPCを標的にしており、異なる言語IDを使用している場合、攻撃プロセスは停止します。また興味深いことに、コンピュータ名が「JOHN-PC」である場合も攻撃を終了します。
最下層のVBScriptは、AutoITファイルも読み込みます。AutoITファイルは、最終的なペイロードであるバンキングトロジャンのコードとプロセスを含むDelphiファイルをメモリ内に読み込ます。Delphiバイナリは、正規銀行名とロゴを用いたブラウザ画面を表示するオーバーレイ攻撃を実行してユーザの入力したデータを窃取します。
このDelphiバイナリは、正規ツールであるNirSoft製「WebBrowserPassView」および「MailPassView」を備えており、ユーザのデータ窃取を可能にします。
関連する攻撃についてさらに深く掘り下げるために弊社トレンドマイクロは、セキュリティリサーチャであるGermán Fernández氏のTwitterで共有された侵入の痕跡(IoC)を分析しました。Twitter内の投稿では、マルウェアが用いたとされるopen-dirログなどの情報が共有されていました。この情報から弊社は、関連する不正ファイルの解析のほか、解析を行った検体からいくつかの侵入経路と推測される不正サイト(URL)を見出すことができました。この不正URLの一覧は、最下記IoCのリンクからご確認いただけます。この不正活動における解析結果は、Tavares氏の投稿内容を反映しています。
■被害に遭わないためには
金銭を直接扱う機関である銀行は、金銭的利益を求めるサイバー犯罪者にとって魅力的な攻撃対象です。バンキングトロジャンは、攻撃者がネット銀行のシステムを利用するユーザから情報を窃取するために用いられるツールの1つであり、スパムはマルウェアを拡散するために実施される手段の1つです。
悪意のある電子メールによって引き起こされる侵害の被害を回避する対策として以下の手順が推奨されます。
- 身に覚えのない送信者からの電子メールに記されるリンクを開いたり、添付ファイルをダウンロードしたりするのは控えましょう
- メッセージを送信するために使用された電子メールアドレスを調査しましょう。これらのメールアドレスはまったく別のアカウントであるか、企業が使用する正規の電子メールアドレスを模範した偽物である可能性があります
- 受信したメッセージの内容を確認し、文法的または構成に誤りがないか、あるいは綴りに間違いがないかどうかを確認しましょう
- 個人情報や認証情報を要求するメッセージには特に注意しましょう。不審な点が見られる場合は、受信したメッセージからではなく、別の連絡手段を使用して企業に連絡を取り、メッセージが実際に送信者からのものかどうかを確認しましょう
■トレンドマイクロの対策
個人向けのエンドポイント製品「ウイルスバスター クラウド」、法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「ファイルレピュテーション(FRS)」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御で既知の検体だけでなく、継続して登場する新たな亜種に対しても対応します。
「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などのメール対策製品、「Trend Micro Web Security as a Service – Advanced」などのWeb対策製品を利用することで関連する不正サイトへのアクセスを防ぐことも有効です。
■侵入の痕跡(Indicators of compromise)
今回の記事に関する侵入の痕跡はこちらを参照してください。
参考記事:
- 「Mispadu Banking Trojan Resurfaces」
by Additional insights and analysis by Don Ladores and Raphael Centeno
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)