10 年以上前に初めて登場した銀行を狙ったマルウェアが、再び大混乱を引き起こしている。
Ursnif として知られるこのマルウェアは、シスコの Talos セキュリティ チームによって実際に発見され、現在は汚染された Word 文書を通じて拡散しています。
Talos のバグハンターによれば、Ursnif 感染は数か月前から活発に活動しており、マシンに感染した後、ユーザーが銀行の認証情報やその他の機密の金融情報を入力しているところを捕まえようと、静かにアクティビティとキー入力を記録しているという。
サイバー犯罪者は中小企業を格好の餌食だと考えています。被害者にならないための簡単なチェックリストをご紹介します。
続きを読む
「この警告は我々の好奇心を刺激したため、我々はさらに深く調査を開始し、この脅威に関連する最近の IoC をいくつか提供し始めた。この脅威は伝統的に、ユーザーの銀行ログイン認証情報やその他のログイン情報を盗もうとするものだ」と Talos は調査結果の概要で述べている。
「Ursnif は、最近攻撃者が展開した最も人気のあるマルウェアの 1 つであるため、Talos は過去にも Ursnif を取り上げています。」
これは、11年以上も前から研究者たちがUrsnif犯罪者と繰り広げてきたいたちごっこの最新の事例です。2007年末に初めて報告された当時、Ursnifはロシアのサイバー犯罪グループが利用するために開発されたバンキングマルウェアファミリーであるGoziの亜種に分類されていました。当時、Ursnifは汚染されたPDFファイルを介して拡散されていました。
10年以上経った今、Ursnifは金融サイバー犯罪グループが好んで利用するツールとして復活しました。拡散方法もほぼ変わっていません。現在のビルドの作成者は、Word文書のVBAマクロコマンドに攻撃コードを埋め込み、受信者はマクロが有効になっていない場合は画像を表示できるようにマクロを有効にするよう指示されます。有効になったら、いよいよpwnage(侵入)です!
このマクロは、実際のペイロードを隠すためのジャンクな数学関数でいっぱいですが、Shapes オブジェクト「j6h1cf.」の AlternativeText プロパティを使用して PowerShell コマンドを作成する次のコードも含まれています。
[email protected] RTrim(LTrim(Shapes("j6h1cf").AlternativeText))、84 * 2 + -168
PowerShellコマンドが実行されると、コマンド&コントロールサーバーに接続し、UrsnifをAppDataディレクトリにダウンロードします。しかし、すぐに実行されるわけではありません(そう簡単にはいきません)。生成された一連のPowerShellコマンドを使用してマルウェアを解凍し、悪意のあるDLLを作成し、DLLが動作するために必要なメモリを割り当て、マルウェアアプリケーション自体を起動します。
マルウェアの最新版では、コマンド アンド コントロール サーバーへの HTTPS 接続も選択し、TEMP ファイルでデータを収集するという面倒な作業の多くを実行し、収集したキーストロークとデータをアーカイブされた .cab 形式のファイルとして送信します。
これらの戦術により、Ursnif はほとんどのセキュリティツールで検出が困難になります。これまでと同様に、マクロは標準では無効にし、文書の出所が確実であれば、ケースバイケースでのみ有効にしてください。®
