バンキングトロージャンZeus Panda ・Marcherの攻撃拡大

2018年5月8日

イージー・ソリューションズは、二つの悪質なバンキングトロージャンを使用した新しい攻撃キャンペーンを検知しました。そのキャンペーンは大手金融機関をターゲットとし、そのトロージャンは顧客のログインクレデンシャルと二要素認証を取得するため攻撃キャンペーンの一部として導入されました。これらの攻撃は、米国、中南米、ヨーロッパ、アジアと世界中に広がっています。

このバンキングトロージャンはZeus Panda 及びMarcherとして知られています。この攻撃手段は標的の銀行のログインページに不正なJavaScriptを注入することで機能します。その注入は顧客がログインページを訪れた際にパソコン上で実行されます。そしてマルウェアがクレデンシャル、クレジットカードの詳細およびその他の重要な個人情報など、サイバー犯罪者グループが盗もうと探しているものなら何でも収集することを可能にしています。

当社のクライアントである銀行の一つを狙ったZeus Pandaというマルウェアは、ログインを試みるエンドユーザーが個人か法人かによって、二要素認証を取得する2つの方法を選択する機能があるため特に強力なものとなりました。

法人顧客のパソコンがZeus Pandaに感染してしまった場合、注入されたスクリプトは二要素認証のワンタイムパスワード用に新たなフォームフィールドを追加します。ユーザーがワンタイムパスワードをその不正なフィールドにワンタイムパスワードを入力すると、ログインクレデンシャルと共に攻撃者の手に渡ってしまいます。一方、個人の顧客がログインを試みる場合、顧客はマルウェアにより不正モバイルアプリケーション(Marcher トロージャン)のダウンロードを求められる偽のページに誘導されます。ユーザーがそれをダウンロードすると、真正な銀行のモバイルアプリになりすますMarcher トロージャンにより、サイバー犯罪者は銀行から配信されたSMS認証のワンタイムパスワードを傍受できるようになります。

当社のリサーチによると、この攻撃キャンペーンはできるだけ多くの法人及び個人客を感染させるために、フィッシングやソーシャルエンジニアリングを利用していました。その策略にはまった人はパソコンがひそかに感染したことに気づく余地もありませんでした。

Zeus Pandaは顧客が狙われた銀行のログインページにログインを試みるまで感染したパソコン上で待ち伏せます。そして顧客がログインすると、ユーザーが真正なウェブページを見ていると思わせるために不正スクリプトが注入されます

Banking Trojan

紫の部分が不正JavaScriptです。感染したデバイスでログインを試みた場合、このマルウェアコードが銀行のログインページに注入されます。

このマルウェアは被害者のオンラインの銀行口座を完全にコントロールするのに必要な全ての個人情報を取得することによって機能します。Zeus Pandaトロージャンにより組み込まれた罠は、ワンタイムパスワードを要求するフィールドの追加を除き、全てのフォームフィールドが銀行の通常のログインページと全く同じ様に表示されるため、見分けることが非常に困難です。被害者がログイン情報を入力すると、その情報は銀行のシステムに送信されずに、実際はマルウェアがそれを取得し、サイバー犯罪者のC2サーバーに送信されます。

Zeus PandaからMarcherへ
被害にあっているユーザーがどのような銀行の顧客かによりマルウェアの行動も変化

法人顧客のための二要素認証は個人顧客の二要素認証に比べてさらに安全なため、このトロージャンは法人の二要素認証にアクセスができません。このことを回避するためにこのマルウェアは単にそれを要求してきます。法人のユーザーは何か悪い事が起きているとは考えもせずに、異なったチャネルに受信したワンタイムパスワードを不正なフォームフィールドに入力してしまします。入力後「申し訳ございません。只今このページはご利用いただけません」と表示されたスクリーンに誘導されます。これはユーザーを混乱させるために設計されたスモークスクリーンですが、ユーザーがそれを疑い銀行に連絡するまでには至らないのです。

Banking Trojan


Zeus Pandaトロージャンが法人顧客のログインクレデンシャルとワンタイムパスワードを取得した後に表示されるページ

ログインクレデンシャルを騙し取られた個人の顧客には別の画面が表示され、銀行からの「最新のモバイルセキュリティアプリ」に思われるアプリをダウンロードするように誘導されます。銀行が顧客の安全を守るために顧客には知らせずに新しいセキュリティを導入したと信じているユーザーは、おそらくそのプロセスに従ってしまうでしょう。

ユーザーはオフィシャルアプリストアではなくサイバー犯罪者によって提供されたリンクから、新しいセキュリティアプリを装った不正アプリケーションのダウンロードを指示されます。一度ユーザーがそうしてしまうと、個人客のモバイルデバイスはモバイルバンキングトロージャンMarcherに感染してしまいます。

このMarcherトロージャンの機能によって、サイバー犯罪者は顧客に知られることなく、銀行から提供された二要素認証を取得する準備ができていることとなり、セキュリティ対策は回避されてしまいます。ハッカーは銀行のログインページに入るために必要な全ての情報を持っており、盗んだ個人の顧客のクレデンシャルを入力します。そして銀行が自動的にSMS配信のワンタイムパスワードをユーザーに送信すると、Marcherトロージャンのウィルスはそれを被害者のスマートフォンから犯罪者のシステムへリダイレクトすることが可能です。こうして彼らは自由に顧客の口座資金を盗むことができるのです。

Banking Trojan


Zeus Pandaトロージャンは個人の顧客に、実際はMarcherのモバイルバンキングトロージャンである「最新のセキュリティアプリ」のダウンロードを誘導

脅威を検知・軽減するためのイージー・ソリューションズの対策
当社のDetect Safe Browsing (DSB) クライアントレス機能は、顧客が感染したデバイスを利用してログインページを訪れた時、そのページ上のマルウェア インジェクションの存在を検知します。またDSBはスクリーンショット形式で有効なエビデンスを提供します。これにより金融機関は瞬時に的確な行動を取ることが可能となります。

同時に、イージー・ソリューションズのセキュリ ティオペレーション センターはこの二つのトロージャンの存在を特定しこの種の攻撃が再び利用されないよう、その情報を当社のナレッジベース(マルウェアリスト)に追加します。

当社のモバイルブラウジング対策のDSBモバイルは銀行のプラットフォームと顧客のスマートフォンの間の全ての通信を保護します。この機能はSMSのテキストメッセージさえも保護することが可能です。つまりMarcherのような不正アプリがユーザーの情報や二要素認証を取得することを防ぎます。さらに、クレデンシャルを盗む機能のあるその他の不正アプリ(オーバーレイ攻撃、キーロガー、ファーミングなど)が利用された場合も、DSBモバイルにより同様に保護されます。

最後に、パソコン上にDSBクライアントをダウンロード・インストールした銀行の顧客は、ナレッジベースからの攻撃の詳細を組み込むことが可能となり自動的に保護されます。DSBクライアントは攻撃者のC2サーバーと通信するマルウェアの能力を遮断することによって、効果的にZeus Panda及び他の全てのバンキングトロージャンの効力を無効化します。

イージー・ソリューションズはZeus Pandaトロージャンの進化を追跡し続けているため、サイバー犯罪者がマルウェアやそのC2サーバーの開発やリパッケージ化を試みた時を検知し、それに応じて対応することが可能です。そうすることで将来の攻撃を効果的に中断させることができます。ハッカーグループが攻撃を再開しようとしても、それはもはや有益ではありません。
不満足な詐欺者はあきらめてもっと脆弱なターゲットに移行するでしょう。

Detect Safe Browsing 対策の詳細はこちら

by Javier Vargas, Product Owner – Detect Safe Browsing

Javier Vargas, Product Owner – Detect Safe Browsing

Javier Vargas はイージー・ソリューションズのリサーチチームの開発者としてインターネット上の脅威について研究しています

 

Cyxtera Technologies, Inc. All rights reserved    I    Privacy Policy    I    Legal Terms