バンキング型トロイの木馬「Grandoreiro」が、およそ1,500の銀行の顧客口座を標的とし、60カ国以上で大規模なフィッシング・キャンペーンで拡散している。
2024年1月、ブラジル、スペイン、国際刑事警察機構(インターポール)、ESET、カイシャ銀行が関与する国際的な法執行活動は、2017年以来スペイン語圏諸国を標的にし、1億2,000万ドルの損失をもたらしていたこのマルウェア作戦の破壊を発表した。
同時に、ブラジル全土で5件の逮捕と13件の捜索・差し押さえが行われた。しかし、逮捕された個人の作戦における役割に関する情報は提供されなかった。
IBMのX-Forceチームの報告によると、Grandoreiroは2024年3月以降、大規模な作戦に復帰した模様で、おそらくMalware-as-a-Service(MaaS)モデルを通じてサイバー犯罪者にレンタルされ、現在は英語圏も標的にしているようです。
さらに、このトロイの木馬自体も技術的な改良が施され、新たに多くの強力な機能や改良が加えられており、これは作成者が逮捕を免れ、前回の取り締まりにも動じなかったことを示している。
新たなフィッシング・キャンペーン
複数の脅威がこのマルウェアをレンタルしているため、フィッシングの手口は多様で、特定のサイバー犯罪者が標的とする組織向けに特別に作られています。
IBMが確認したフィッシングメールは、メキシコ、アルゼンチン、南アフリカの政府機関(主に税務管理組織、歳入サービス、連邦電力委員会)になりすましている。
メールは受信者の母国語で書かれ、公式ロゴや書式が組み込まれ、請求書、口座明細書、税務書類を閲覧するためのリンクをクリックするなどの行動を促す内容が含まれている。
受信者がこれらの電子メールをクリックすると、PDFの画像にリダイレクトされ、Grandoreiroローダーである肥大化した(100 MB)実行ファイルを含むZIPファイルのダウンロードが開始される。
Grandoreiroの新機能
IBM X-Forceは、Grandoreiroバンキング型トロイの木馬の最新の亜種にいくつかの新機能と重要なアップデートがあり、より回避的で効果的な脅威になっていることに気づきました。
これらをまとめると以下のようになります:
- AES CBCとカスタムデコーダを組み合わせた文字列復号化アルゴリズムの再構築と改良。
- ドメイン生成アルゴリズム(DGA)の更新により、コマンド&コントロール(C2)通信とオペレーター・タスクを分離するための複数のシードが含まれるようになった。
- Microsoft Outlookクライアントを標的とし、セキュリティ・アラートを無効化し、新たな標的へのフィッシング送信に利用する新たなメカニズム。
- レジストリRunキー(「HKEY_LOCAL_MACHINE_Software」、「HKEY_CURRENT_USER」)の作成に依存する新たな永続化メカニズム。
- 銀行アプリケーションをターゲットとする拡張と暗号通貨ウォレットの追加。
- コマンドセットの拡張により、リモートコントロール、ファイルのアップロード/ダウンロード、キーロギング、JavaScriptコマンドによるブラウザ操作が含まれるようになった。
もう1つの注目すべき新機能は、Grandoreiroの詳細な被害者プロファイリングを実行し、デバイス上で実行するかどうかを決定する機能で、これによりオペレーターは標的範囲をよりよく制御できる。
IBMのアナリストは、トロイの木馬の最新バージョンは、ロシア、チェコ、オランダ、ポーランドなどの特定の国や、アンチウイルスが有効でない米国のWindows 7マシン上での実行を回避すると報告している。
以上のことから、最近の法執行措置にもかかわらず、Grandoreiroは健在であり、残念ながらこれまで以上に強力なようだ。
Update:この記事では、マルウェアがAndroid用であると誤って記述していました。
Comments