情報セキュリティ企業Varonisによると、10年前に登場した銀行の認証情報を盗むマルウェア「Qbot」の新バージョンが出回っているという。
Varonis の研究者らによると、不運な顧客のシステムが感染した後に発見された最新バージョンは、オリジナルの分析回避ポリモーフィズム機能を保持しているという。
標的ネットワークに侵入すると、WindowsマルウェアはActive Directory Domain Usersグループのネットワークアカウントに対してブルートフォース攻撃を開始します。また、従来のキーロギング、フック(すべてのシステムプロセスをスキャンして銀行関連の文字列を抽出)、そして認証情報の窃取といった機能も実行します。
マルウェアなんて必要ありません。IBMによると、ハッカーの多くは現在、PowerShellを使ってボックスから侵入し、痕跡をほとんど残さないそうです。
続きを読む
「この攻撃は米国企業を積極的に狙っているが、世界中のネットワークを攻撃しており、被害者は欧州や南米にまで及んでいる。その目的は銀行口座を含む金融情報の窃取だ」と情報セキュリティ業界は警告した。
研究者らは、この新しい亜種を分析した結果、ランチャーが拡張子「.doc.vbs」で終わるファイルを含む.zipアーカイブであることを発見した。これは「最初の感染は、被害者を誘導して悪質なVBSファイルを実行させるフィッシングメールを介して行われた可能性が高い」ことを示していると研究者らは述べている。
一般ユーザーを騙して Visual Basic スクリプトを実行させるという手法は、Word マクロをローカル トリガーとするオリジナルの Qbot の新たな展開であり、Qbot 自体の少なくとも 2 倍の年齢で登場したマルウェア拡散手法です。
このVBスクリプトは実行されると、Windows Defender、Malwarebytes、Kaspersky、Trend Microなど、一般的なウイルス対策プログラムを検索します。その後、Windowsに組み込まれているコマンドラインダウンローダーツールBITSAdminを使用してマルウェア自体をダウンロードします。これは、PowerShellを使って標的マシンに侵入するだけの以前のQbotサンプルとは異なります。
標的のマシンがインターネットに接続されていない場合、「マルウェアは感染したデバイス上の別の場所に自身をコピーし、動作を継続します。情報を送信できない場合は、デバイス上に暗号化されて保存されます」と、Varonisのサイバーセキュリティ担当ディレクター、スニール・ベン・シモル氏はThe Registerに語った。
Varonis は、発見できた新しい Qbot ローダーのすべてのバージョンを分析し、すべてが英国の有限会社の名前でデジタル署名されており、そのすべてが過去 2 年以内に設立されたものであることが判明しました。
同社は、新たなQbot亜種が通信したコマンド&コントロール(C2)サーバーの1つを分析した結果、そのサーバーに接続していたWindowsマシン4万台を特定したと述べた。「被害者のIPアドレス、OSの詳細、ウイルス対策製品名を含むログファイルを発見することができました。C2サーバーからは過去の活動に加え、マルウェアの新たなバージョンと思われるものも発見されました。」
サーバーに送られたVBスクリプトの結果から判断すると、感染したマシンのほぼすべてでWindows Defenderが動作していたことが判明しました。感染したIPアドレスの約90%は米国からのものであり、残りの10%未満は英国からのものでした。®
