ホーム » オンライン銀行詐欺ツール

日本を狙うバンキングトロジャン「Cinobi」、不正広告経由で暗号資産サイトなどの認証情報を窃取する手口を解説

今回は特に日本の利用者を狙うバンキングトロジャン（オンライン銀行詐欺ツール）「Cinobi」の最新攻撃手口について報告いたします。Cinobiについては以前2020年4月17日の記事において、弊社が「Operation Overtrap（Overtrap作戦）」と名付けたキャンペーンについての調査結果を報告しておりました。Overtrap作戦では、当時新種として確認された「Cinobi」を利用して日本国内のネットバンキング利用者を狙い攻撃活動が行われていました。このキャンペーンはトレンドマイクロが「Water Kappa」と名付けたサイバー犯罪グループによって実行されたものであり、マルウェアスパムを介してCinobiが拡散されました。またOvertrap作戦では脆弱性攻撃ツールである「Bottleエクスプロイトキット（Bottle EK）」を用いた攻撃でもCinobiが配信されました。Bottle EKは、Microsoft Internet Explorer（IE）が持つスクリプトエンジンのメモリ破損の脆弱性「CVE-2020-1380」およびIEのメモリ破損の脆弱性「CVE-2021-26411」を利用する脆弱性攻撃ツールで、IE利用者を対象に頒布された「不正広告（マルバタイジング）」攻撃に用いられました。トレンドマイクロは2020年から2021年上半期にかけてBottle EKを利用した攻撃活動が限定的となり、2021年6月中旬にはトラフィックが減少していることを確認しました（図1）。これは、Water Kappaグループが新たなツールや攻撃手法に目を向けている可能性を示す変化です。

図1：Water Kappaグループの攻撃活動を示すタイムライン（2021年6月10日～7月9日）

(さらに…)

スペイン・ポルトガル語圏を狙うバンキングトロジャン「MISPADU」の攻撃手口を解説

投稿日:2020年11月6日
脅威カテゴリ:スパムメール, 攻撃手法
執筆:Trend Micro

「MISPADU（ミスパドゥ）」は、ユーザのPCから認証情報を窃取するマルウェアです。「URSA」の別名を持つこのマルウェアは一般的にはオンライン銀行詐欺ツール（バンキングトロジャン）に分類されており、トレンドマイクロでは「TrojanSpy.Win32.MISPADU.THIADBO」として検出します。MISPADUは2019年後半にマルウェアスパムやFacebook上の不正広告などを経由した拡散が報告されました。そして2020年の後半から再度メール経由の拡散活動（スパムキャンペーン）が、マルウェア解析者であるPedro Tavares氏によって発見され、Twitterおよびセキュリティブログ「Segurança Informática」で報告されています。2019年の攻撃ではメキシコやブラジルなどラテンアメリカの国で観測されました。今回2020年の攻撃でも、システム言語にスペイン語またはポルトガル語を使用するPCが標的となっており、メキシコ、スペイン、ポルトガル、その他の近隣地域のユーザを標的にしていると推測されます。

(さらに…)

ブラジルの銀行ユーザを狙いバンキングトロジャンを送り込む攻撃を解析、「ファイルレスな活動」も確認

投稿日:2019年3月13日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

トレンドマイクロは、複数のリサーチャによってオンラインで報告された不正なバッチファイル（拡張子：BAT）を取得し、ファイルを利用しない活動を含む一連の攻撃を解析しました。このバッチファイルは、PowerShellスクリプトをダウンロードして実行することで、ブラジルの3つの銀行「Banco Bradesco」、「Banco do Brasil」、「Sicredi」を狙うバンキングトロジャン（オンライン銀行詐欺ツール）、Outlookの連絡先やPCの認証情報などを窃取する情報窃取型マルウェア、およびハッキングツール「RADMIN」を感染PCに送り込みます。検出数の多い国はブラジルと台湾でした。

(さらに…)

モバイルバンキングを狙う不正アプリ「Anubis」をGoogle Playで確認、モーションセンサーを利用して検出を回避

投稿日:2019年1月22日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

トレンドマイクロは2019年1月、感染端末にオンライン銀行詐欺ツール（バンキングトロジャン）をドロップするAndroid端末向け不正アプリ（「ANDROIDOS_ANUBISDROPPER」として検出）をGoogle Playで2つ確認しました。これらの不正アプリはユーティリティアプリに偽装しており、「Currency Converter」および「BatterySaverMobi」という名前が付けられていました。Googleはすでにこれらの不正アプリをGoogle Playから削除しています。

図 1：Google Playで確認された不正アプリ
「BatterySaverMobi」と「Currency Converter」

(さらに…)

日本のユーザを狙うスパムメール送信活動を確認、ステガノグラフィを利用し「BEBLOH」を拡散

トレンドマイクロは、2018 年 10 月 24 日、オンライン銀行詐欺ツール（バンキングトロジャン）「BEBLOH」を拡散する短時間のスパムメール送信活動を確認しました。検出された 185,902 件のスパムメールは、その 90% 以上が日本語話者を対象としていました。今回確認されたスパムメールは、2018 年8月上旬に確認された、Internet Query (IQY) ファイルおよび PowerShell を利用して「BEBLOH」およびバンキングトロジャン「URSNIF」を拡散するスパムメールと同様に、ボットネット「CUTWAIL」によって送信されたと見られています。

(さらに…)

IQYファイルを利用するマルウェアスパム、日本のみを標的に 50 万通拡散

投稿日:2018年9月10日
脅威カテゴリ:メール, スパムメール
執筆:Trend Micro

トレンドマイクロは2018年8月上旬、Internet Query (IQY) ファイルを不正利用するマルウェアスパムの増加を確認し、8月8日のブログ記事にて速報いたしました。またその後の調査により、このマルウェアスパムが日本のみを標的としていたこと、そしてその活動内容が今年6月に検出されたリモートアクセスツール「FlawedAmmyy RAT」を送り込むマルウェア「NECURS」を拡散するスパムメール送信活動と類似していることを確認しました。サイバー犯罪者は構造ベースの検出方法を回避するため、一般的に単純なプレーンテキストの形式をとるIQY ファイルを利用しているように見受けられます。

今回の調査で、ボットネット「CUTWAIL 」から送信されるスパムメールにIQYファイルを悪用する手口が確認されました。このスパムメール送信活動は、特に日本のユーザを対象としており、「BEBLOH」（「TSPY_BEBLOH.YMNPV」として検出）あるいはURSNIF（TSPY_URSNIF.TIBAIDO）のいずれかのマルウェアを拡散しています。スパムメールは、「支払い」、「写真送付の件」、「写真添付」、または「ご確認ください」など、従来のソーシャルエンジニアリングの手法を利用して、ユーザが添付ファイルをクリックするように誘導します。このキャンペーン活動は2018年8月6日に検出され、同年8月9日には下火となりましたが、この期間内で約50万件のスパムメールの拡散が確認されました。

図1:2018年8月6日から10日に検出されたスパムメールの量
(さらに…)

拡張子”.iqy”のファイルとは？1 日でメール 29 万通が日本国内に拡散

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、この8月に入り、日本語のスパムメールにおいて、拡張子 “.iqy” のファイルの添付を初確認しました。この見慣れない拡張子のファイルの正体はなんでしょうか？新たに登場した添付ファイルの手口について、その実例を紹介します。

図：今回確認されている不審メールの例
この例の「お世話になります」の他にも「ご確認ください」、
「写真添付」、「写真送付の件」などの件名が確認されている

(さらに…)

バンキングトロジャンのメール経由拡散を支える「スパムボット」

本ブログの 7 月 3 日の記事ではオンライン銀行詐欺ツール（バンキングトロジャン）による日本国内におけるクレジットカード情報詐取被害の一端を、7 月 17 日の記事ではバンキングトロジャンの情報詐取活動を実現する Web インジェクションツールの存在について報告してまいりました。今回はバンキングトロジャンを拡散させる電子メールによる攻撃の状況とその攻撃メールの送信を行う「スパムボット」の存在について報告いたします。不正プログラム（マルウェア）を拡散させるための主な攻撃手法には、電子メール経由と Web 経由があります。電子メール経由の攻撃の中でも、不特定多数のインターネット利用者を狙い、マルウェア拡散を目的とするものを特に「マルウェアスパム」と呼びます。現在、日本のインターネット利用者を狙う日本語のマルウェアスパムのほとんどは、バンキングトロジャン「URSNIF」の拡散を目的としたものであることがわかっています。このことから、バンキングトロジャンは日本国内を狙うメール経由の攻撃で最も多い脅威と言えます。

(さらに…)

バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認

オンライン銀行詐欺ツール（バンキングトロジャン）は、利用者から詐取したクレジットカード情報をサイバー犯罪者が運用する不正サーバへアップロードします。このような詐取情報を集積するための不正サーバは、特に「マニピュレーションサーバ」とも呼ばれています。今回、社外のセキュリティリサーチャーからの情報提供を基に、トレンドマイクロでは活動継続中のマニピュレーションサーバを確認しました。そして更なる調査により、マニピュレーションサーバ内に日本国内のクレジットカード情報が最大 1,800 件保持されていたことを突き止めました。マニピュレーションサーバ内の情報が確認できるケースは稀であり、日本を狙うバンキングトロジャンによる被害の実体を示す貴重な事例として報告します。なお、トレンドマイクロでは、既に詐取されたみられるクレジットカード情報について各カード会社への連絡を行っております。

(さらに…)

2017 年個人の三大脅威：個人の「金銭」、「情報」を狙う脅威が「仮想通貨」にも拡大

トレンドマイクロでは、2017 年 1 月～11 月に発生したサイバー脅威の事例を分析し、個人利用者では１）金銭を狙う「不正プログラム」の拡散、２）「ネット詐欺」、３）「仮想通貨を狙う攻撃」を、法人利用者では１）「ランサムウェア」と「WannaCry」、２）「公開サーバへの攻撃」による情報漏えい、３）「ビジネスメール詐欺（BEC）」　を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えしています。第1回、第 2 回では特に法人での脅威について「セキュリティ上の欠陥」の観点から解説いたしましたが、第 3 回の今回は、個人利用者における三大脅威について解説します。

図：2017 年国内の個人と法人における三大脅威
(さらに…)

Page 1 of 412 › »