ブラジル発のバンキングトロイの木馬「Bizarro」が、ヨーロッパと南米の70の銀行を標的にし始めたことがわかりました。
このマルウェアは、Windowsシステムに侵入するとユーザーに銀行の認証情報を入力させ、ソーシャルエンジニアリングを利用して2要素認証コードを盗み出します。
Bizarroの拡散
Bizarroはターゲットにする銀行を拡大し続けているため、常に開発が行われています。また、解析用の保護機能を向上させるための修正も行われています。
サイバーセキュリティ企業であるカスペルスキーの統計によると、Bizarroのターゲットは現在ヨーロッパ(ドイツ、スペイン、ポルトガル、フランス、イタリア)および南米(チリ、アルゼンチン、ブラジル)の銀行となっています。
このマルウェアは、料金未払いを通知する公式メッセージを装ったフィッシングメールを通じて拡散します。
メッセージ内のダウンロードリンクはMSIパッケージとしてBizarroをダウンロードします。
このマルウェアは、起動後ハッキングされたWordPress、Amazon、Azureの各サーバーから攻撃に必要な悪意のあるコンポーネントを含むZIPアーカイブをダウンロードします。
Bizarroの機能
Bizarroは、起動後すべてのブラウザプロセスを終了させることで、オンラインバンキングサービスの既存のセッションを終了させます。これにより、ユーザーは銀行口座の認証情報を再度入力しなければならなくなりマルウェアに認証情報を収集されてしまいます。
また、このマルウェアはウェブブラウザのオートコンプリート機能を無効にして被害者が手動で入力する際にログイン認証情報を取得することもできます。
カスペルスキーの研究者は、Bizarroのコアコンポーネントは100以上のコマンドをサポートするバックドア機能であり、そのほとんどが “ユーザーに偽のポップアップメッセージを表示するために使用される “と指摘しています。
Bizarroは実行中のシステムについて以下の情報を収集します。
- コンピュータ名
- オペレーティングシステムのバージョン
- デフォルトのブラウザ名
- インストールされているウイルス対策ソフトの名前
またマルウェアがすべての起動しているウィンドウを確認し、サポートしている銀行サイトのいずれかに接続されているかどうかをチェックした後にのみ起動になります。
Bizarroは、コマンド&コントロールサーバーから以下の種類のコマンドを受け取ることができます。
- 被害者に関するデータの取得と接続状態の管理
- ハードドライブ上のファイルの制御
- マウスやキーボードの操作を許可する
- オペレーティングシステムのシャットダウン、再起動、破壊、Windowsの機能制限
- キー操作の記録
- ソーシャル・エンジニアリング攻撃を可能にするコマンド
- ソーシャル・エンジニアリング・コンポーネント
バックドア機能の特定のコマンドを使用してログインデータや二要素認証コードを要求するメッセージボックスやウィンドウを表示し、ユーザーを騙して銀行口座のログイン情報を提供させることができます。
バックドアは最初に、ipconfig /flushdnsコマンドを実行してDNSキャッシュを削除します。これは、ブロックされたIPへの接続を防ぐために行われ、マルウェアは銀行のドメイン名のIPアドレスを偽のIPアドレスに書き換えバインドします。接続が成功すると、%userprofile%\bizarro.txtファイルが作成されます。
バックドア機能の特定のコマンドを使用して、Bizarroのオペレータはカスタムメッセージボックスまたはウィンドウを表示することによりユーザーを騙して機密情報を提供させることができます。
メッセージは、詳細情報の再入力を求める偽の通知や確認コードの入力を求めるものからセキュリティ関連の操作を完了するためにシステムの再起動が必要であることを通知する偽のエラーまで様々です。
Bizarroのもう一つのソーシャルエンジニアリングの手法としては、標的となる銀行のロゴと被害者への指示を含むJPEG画像を表示します。
これらの画像は暗号化された形でユーザープロファイルディレクトリに保存されます。
メッセージの中には画面全体へのアクセスをブロックしたりタスクバーを隠してタスクマネージャーの起動を困難にするものも存在し、ほとんどの画像はシステムが危険にさらされていることやアップデートが必要であること、あるいはブラウザ用のセキュリティコンポーネントやパフォーマンスコンポーネントをインストールする必要があることを被害者に勘違いさせるものになっています。
被害者を騙して不正なバンキングアプリを携帯電話にインストールさせようとし、モバイルデバイスからも認証情報や機密コードの収集を可能にするソーシャルエンジニアリング攻撃も行います。
このトロイの木馬がサポートするコマンドに基づいて感染したコンピュータへの攻撃は、被害者が銀行のウェブサイトにアクセスすることから始まります。
このマルウェアに搭載されているキーロギング機能により、アカウントのパスワードを取得し、二要素認証コードを収集するための偽のメッセージが表示されます。
攻撃者は、銀行からの偽の警告を表示して画面へのアクセスを遮断することで不正取引の準備をする時間を稼ぐことができます。
カスペルスキーによると、南米からヨーロッパに移動しているバンキングトロイの木馬はBizarroだけではないという。
最近では、他のマルウェアも同じ動きをしておりGuildma(別名:Astaroth)、Amalvado、Javali、Melcoz、Grandoreiroなどがあります。これらは下図のようにいずれもブラジルで作成、開発、拡散されたものでラテンアメリカ以外にも拡散しています。
Comments