ホーム » Author / Fraud Researcher - Joseph C Chen

侵害サイトからフィッシングへ誘導する攻撃を韓国で確認

トレンドマイクロは、少なくとも4つの韓国のWebサイトを侵害し、偽のログインフォームを通して認証情報を窃取するフィッシング攻撃を確認しました。侵害されたWebサイトには同国で訪問数上位に入る事業ページが含まれていました。また、偽のログインフォームは韓国で広く利用されている検索サイトに偽装していました。ユーザが入力した認証情報は攻撃者のサーバに送信されますが、認証情報の正誤をチェックする機能が無いことから、この攻撃はまだ調査および情報収集の段階にあると考えられます。

侵害したWebサイトに不正なJavaScriptのコードを注入する「水飲み場型攻撃」は、以前にも脆弱性攻撃コードや銀行情報を窃取するスキミングコードを読み込ませる手法として利用されてきました。しかし、今回のように水飲み場型攻撃がフィッシングに利用された事例は珍しいものだと言えます。

■攻撃の流れ

「Soula」という名前が付けられたこの攻撃の流れは図1の通りです。侵害されたWebサイトに注入された不正なコードが、ユーザのPCまたはモバイル端末にフィッシングスクリプト（「Trojan.HTML.PHISH.TIAOOHDW」として検出）を読み込み、偽のログインフォームを表示します。

図1：フィッシング攻撃の流れ

(さらに…)

SOHO 用ルータを狙う新しいエクスプロイトキット「Novidade EK」を確認

トレンドマイクロは、SOHO（小規模または自宅事務所）用ルータを狙う新しい脆弱性攻撃ツール（エクスプロイトキット、EK）「Novidade EK」を確認しました。Novidade EK は、ユーザがすでにログインしている Web アプリケーションを介してクロスサイトリクエストフォージェリ（Cross Site Request Forgeries、CSRF）攻撃を実行し、ルータに接続された機器やデスクトップ PC からルータの Domain Name System（DNS）設定を変更します。ユーザが標的ドメインにアクセスすると、当該ドメインへのトラフィックが不正サイトの IP アドレスに名前解決され、攻撃者が管理するサーバにリダイレクトされます。

(さらに…)

新しく確認された暗号化型ランサムウェア「PRINCESS EVOLUTION」が RaaS 利用者を募集

トレンドマイクロは、2018 年 7 月 25 日以降、「malvertisement（不正広告）」と脆弱性攻撃ツール（エクスプロイトキット）「Rig EK」を利用して、仮想通貨発掘マルウェアや暗号化型ランサムウェア「GandCrab」を拡散する活動を確認してきました。その後、8 月 1 日には、Rig EK によって、今まで知られていなかったランサムウェアが拡散されていることを確認しました。この新種と思われるランサムウェアを詳細に解析したところ、匿名ネットワーク「Tor」内で身代金支払いページを確認することができました。このランサムウェアは「PRINCESS EVOLUTION（プリンセスエボリューション）」（「RANSOM_PRINCESSLOCKER.B」として検出）と呼ばれおり、実際に、2016 年に確認された暗号化型ランサムウェア「PRINCESS LOCKER」の新しいバージョンであることが判明しました。PRINCESS EVOLUTION は、「Ransomware as a Service（サービスとしてのランサムウェア、RaaS）」として提供されており、アンダーグラウンドの掲示板で利用者を募集していました。

図 1：身代金支払いページの「PRINCESS EVOLUTION」のロゴ

(さらに…)

仮想通貨取引プラットフォームを狙う Chrome 拡張機能「FacexWorm」、Facebook Messengerを悪用して拡散

Facebook Messenger を通して拡散し、仮想通貨取引プラットフォームの認証情報の窃取、仮想通貨取引処理の乗っ取り、ユーザの PC リソースを盗用した仮想通貨の発掘（マイニング）等、仮想通貨に関連したさまざまな不正活動を実行する Chrome 拡張機能「FacexWorm（フェイスエックスワーム）」が、トレンドマイクロの「Cyber Safety Solutions チーム」によって確認されました。この FacexWorm に感染したユーザがわずかながら確認されています。ただし、弊社が注意喚起した時点で、既に FacexWorm の多くがChrome から削除済みとなっていました。

FacexWorm は新しいマルウェアではありません。2017 年 8 月に確認されましたが、その当時は目的や手法についてはっきりとは分かっていませんでした。2018 年 4 月 8 日、トレンドマイクロは FacexWorm による活動の急増を確認しました。この急増は、FacexWormが、ドイツ、チュニジア、日本、台湾、韓国、スペインで確認されたとする報道とも一致します。

(さらに…)

不正な Chrome 拡張機能「DROIDCLUB」、正規ストア利用者 42 万人に影響か

トレンドマイクロの「Cyber Safety Solutions チーム」が、数百万ユーザに影響を与える Chrome の不正な拡張機能（「BREX_DCBOT.A」として検出）を確認しました。利用されている最も古い C&C サーバにちなんで「DROIDCLUB（ドロイドクラブ）」と名付けられたこのマルウェア（ボット）は、Chrome の拡張機能として拡散し、ユーザが訪問した Web サイトに広告や仮想通貨発掘コードを注入します。

(さらに…)

エクスプロイトキット「Magnitude EK」が韓国を対象に暗号化型ランサムウェア「MAGNIBER」を拡散

韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER（マグニバー）」（「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出）が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement（不正広告）」を介し、脆弱性攻撃ツール（エクスプロイトキット）「Magnitude Exploit Kit （Magnitude EK）」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。

(さらに…)

攻撃キャンペーン「EITest」によるサポート詐欺サイト、仮想通貨発掘コードを拡散

攻撃キャンペーン「EITest」は、2014 年に初めて確認されて以来、脆弱性攻撃ツール（エクスプロイトキット）を利用してランサムウェアなどさまざまなマルウェアを拡散しています。トレンドマイクロは、今回、ソーシャルエンジニアリングとして「サポート詐欺」を利用して、仮想通貨を発掘する JavaScript 形式の「HKTL_COINMINE」が拡散されていることを確認しました。「サポート詐欺」とは、正規のテクニカルサポートサービスを装った Web サイトで「マルウェア感染」などの文言を表示し、そうとは知らずに引っかかったユーザからサービス利用料や金融情報を詐取する手法です。

(さらに…)

不正広告キャンペーン「ProMediads」、新型エクスプロイトキットを利用しランサムウェアなどを拡散

投稿日:2017年7月24日
脅威カテゴリ:不正プログラム, サイバー犯罪, 脆弱性, TrendLabs Report
執筆:Fraud Researcher - Joseph C Chen

不正広告キャンペーン「ProMediads」、新型エクスプロイトキットを利用しランサムウェアなどを拡散

トレンドマイクロは、不正広告キャンペーン「ProMediads」で、新しい脆弱性攻撃ツール（エクスプロイトキット）を利用した活動を確認しました。弊社は、この新しいエクスプロイトキットを「Sundown-Pirate Exploit Kit（Sundown-Pirate EK）」と名付けました。Sundown-Pirate EK は、以前から存在するエクスプロイトキット複数を元にして新しく作成されたものです。

(さらに…)

不正広告キャンペーン「AdGholas」、追跡困難化した脆弱性攻撃の利用で攻撃を拡大

トレンドマイクロでは、日本にも影響が確認されている不正広告キャンペーン「AdGholas（アドゴラス）」に対し、監視と調査を継続しています。そして今回、「AdGholas」関連の攻撃でのみ利用が確認されている脆弱性攻撃ツール（エクスプロイトキット）「Astrum Exploit Kit （Astrum EK）」が不正トラフィックの検出を困難化させるため「Hyper Text Transfer Protocol Secure （HTTPS）」を利用していることを突き止めました。ブラウザとアプリケーション間の接続が「Transport Layer Security（TLS）」で暗号化される HTTPS は、ネットバンキングやオンラインショッピングなどの機密性が必要とされる通信を保護するために使用されていますが、それを悪用した活動と言えます。「Astrum EK」については「ディフィー・ヘルマン鍵交換（DH鍵交換）」を利用し、監視ツールあるいはセキュリティリサーチャによる不正ネットワークトラフィックの解析を阻止する手口が 2017年５月に確認されており、さらなる「改良」が加えられたものです。

(さらに…)

「Astrum EK」の更新を確認。エクスプロイトキット脅威再燃となるか

投稿日:2017年5月22日
脅威カテゴリ:不正プログラム, サイバー犯罪, 脆弱性, TrendLabs Report
執筆:Fraud Researcher - Joseph C Chen

「脆弱性攻撃ツール（エクスプロイトキット）」の活動は 2016年下半期より、「Magnitude Exploit Kit（Angler EK）」、「Nuclear EK」、「Neutrino EK」、「Neutrino」、「Rig EK」を中心に減少傾向を示しています。しかしこれは、エクスプロイトキット自体が活動を諦めたわけではありません。「Astrum EK（別名：「Stegano EK」）」は、従来から存在するあまり目立たないエクスプロイトキットとして知られていますが、最近トレンドマイクロでは、このエクスプロイトキットの更新を複数回確認しました。

「Astrum EK」は、不正広告キャンペーン「AdGholas（アドゴラス）」だけに利用されるエクスプロイトキットとして知られ、この広告キャンペーンを介したオンライン銀行詐欺ツール「Dreambot／Gozi（別名「URSNIF」、「BKDR_URSNIF」として検出対応）」や「RAMNIT（「TROJ_RAMNIT」、「PE_RAMNIT」として検出対応）」など、深刻な脅威をもたらしていました。また、別の不正広告キャンペーン「Seamless」による不正サイトへの誘導に利用されることも、弊社では確認しています。「Seamless」は、通常、「Rig EK」が利用されることで知られています。

「Astrum EK」の最近の活動からは、複数の更新が施され、上述のような既存のマルウェアに利用されるだけでなく、利用範囲を広げ、今後の大規模なキャンペーン活動の準備をしているようにも見えます。特に「ディフィー・ヘルマン鍵交換（DH鍵交換）」を悪用して、セキュリティリサーチャやエンジニアの解析やフォレンジック分析を阻もうとする手口は、セキュリティ対策へ挑戦とも見て取れます。

(さらに…)

Page 1 of 312 3