Last Updated on 2024-05-20 07:52 by TaTsu
Windowsベースのバンキングトロイの木馬Grandoreiroが、2024年1月の法執行機関による摘発後、2024年3月から世界的なキャンペーンを再開し、世界中の1,500以上の銀行を標的にしている。この攻撃は、マルウェア・アズ・ア・サービス(MaaS)モデルを通じて他のサイバー犯罪者によって容易にされた大規模なフィッシング攻撃であり、中南米、アフリカ、ヨーロッパ、インド太平洋地域の60カ国以上にわたる。IBM X-Forceによると、Grandoreiroは主にラテンアメリカ、スペイン、ポルトガルに焦点を当てていたが、ブラジル当局によるインフラのシャットダウン試み後、戦略の変更として拡大している可能性がある。
マルウェア自体には、文字列復号化とドメイン生成アルゴリズム(DGA)の主要な更新が含まれ、感染したホスト上のMicrosoft Outlookクライアントを使用してさらなるフィッシングメールを拡散する能力があることが分析から明らかになった。攻撃は、受信者に請求書を閲覧するか、メッセージで偽装された政府機関の性質に応じて支払いを行うよう指示するフィッシングメールから始まる。
リンクをクリックしたユーザーはPDFアイコンの画像にリダイレクトされ、最終的にGrandoreiroローダー実行ファイルが含まれたZIPアーカイブのダウンロードにつながる。このカスタムローダーは、マルウェアスキャンソフトウェアを回避するために100MB以上に人為的に膨らまされている。また、コンプロマイズされたホストがサンドボックス環境にないことを確認し、基本的な被害者データをコマンドアンドコントロール(C2)サーバーに収集し、メインのバンキングトロイの木馬をダウンロードして実行する役割を担っている。
トロイの木馬コンポーネントは、Windowsレジストリを介して永続性を確立した後、再構築されたDGAを使用してC2サーバーとの接続を確立し、さらなる指示を受け取る。Grandoreiroは、システムを遠隔操作し、ファイル操作を実行し、特別なモードを有効にするなど、さまざまなコマンドをサポートしている。また、Microsoft Outlookデータを収集し、被害者のメールアカウントを悪用して他のターゲットにスパムメッセージを送信する新しいモジュールも含まれている。ローカルのOutlookクライアントでスパムを送信することにより、Grandoreiroは感染した被害者の受信箱経由でメールによって拡散することができ、Grandoreiroから観測される大量のスパム量に寄与している可能性がある。
【編集者追記】用語解説
- ドメイン生成アルゴリズム(DGA):マルウェアが多数のドメイン名を自動生成し、そのうちの一部をC2サーバーとの通信に使う手法。DGAを使うことで、マルウェアの検出や封じ込めが難しくなる。
- コマンド&コントロール(C2)サーバー:マルウェアに感染したコンピュータを遠隔操作するために攻撃者が用意するサーバー。マルウェアはC2サーバーから指令を受け取り、情報を送信する。
【関連記事】
トロイの木馬に関連する記事をinnovaTopiaでもっと読む
【ニュース解説】
2024年1月の法執行機関による摘発の後、WindowsベースのGrandoreiroバンキングトロイの木馬が2024年3月から世界的なキャンペーンを再開し、世界中の1,500以上の銀行を標的にしていることが報告されました。この攻撃は、マルウェア・アズ・ア・サービス(MaaS)モデルを通じて他のサイバー犯罪者によって容易にされた大規模なフィッシング攻撃であり、中南米、アフリカ、ヨーロッパ、インド太平洋地域の60カ国以上にわたっています。これまで主にラテンアメリカ、スペイン、ポルトガルを対象としていたGrandoreiroですが、ブラジル当局によるインフラのシャットダウン試み後、戦略の変更として拡大している可能性があります。
マルウェア自体には、文字列復号化とドメイン生成アルゴリズム(DGA)の主要な更新が含まれ、感染したホスト上のMicrosoft Outlookクライアントを使用してさらなるフィッシングメールを拡散する能力があることが分析から明らかになりました。攻撃は、受信者に請求書を閲覧するか、メッセージで偽装された政府機関の性質に応じて支払いを行うよう指示するフィッシングメールから始まります。リンクをクリックしたユーザーはPDFアイコンの画像にリダイレクトされ、最終的にGrandoreiroローダー実行ファイルが含まれたZIPアーカイブのダウンロードにつながります。このカスタムローダーは、マルウェアスキャンソフトウェアを回避するために100MB以上に人為的に膨らまされています。
トロイの木馬コンポーネントは、Windowsレジストリを介して永続性を確立した後、再構築されたDGAを使用してC2サーバーとの接続を確立し、さらなる指示を受け取ります。Grandoreiroは、システムを遠隔操作し、ファイル操作を実行し、特別なモードを有効にするなど、さまざまなコマンドをサポートしています。また、Microsoft Outlookデータを収集し、被害者のメールアカウントを悪用して他のターゲットにスパムメッセージを送信する新しいモジュールも含まれています。
この攻撃の再開は、サイバーセキュリティの分野において重要な意味を持ちます。まず、マルウェアの開発と拡散の手法がますます巧妙化していることを示しています。また、マルウェア・アズ・ア・サービス(MaaS)モデルの利用が増加していることも、サイバー犯罪の脅威がどのように進化しているかを示しています。さらに、この攻撃は、企業や個人がフィッシング詐欺に対して常に警戒し、適切なセキュリティ対策を講じる必要があることを強調しています。
長期的な視点では、このような攻撃の増加は、サイバーセキュリティ対策の強化、特にフィッシング攻撃の検出と防止技術の進化を促す可能性があります。また、国際的な協力と情報共有の重要性が高まり、サイバー犯罪に対抗するためのグローバルな取り組みが強化されることが期待されます。
from Grandoreiro Banking Trojan Resurfaces, Targeting Over 1,500 Banks Worldwide.
