バンキングマルウェア Vawtrak との戦いは敵を知ることから始まります。

2016.06.15

SophosLabs は 2014 年 12 月に発行した Vawtrak – International Crimeware-as-a-Service (国際的な CaaS、Vawtrak) において、いまや主流のテクノロジー業界で一般的になった従量課金モデルが、どのようにしてサイバー犯罪の世界に導入されたのかを解説しました。


サイバー犯罪者は長年にわたり、スパムメールのリストを交換する、マルウェアプログラムを受注生産する、脆弱性を発見して販売するなどして、サービスを相互に提供し合っています。


しかし、自分が作成したマルウェアのソースコードファイルやメーリングリストであっても、一度別の犯罪者に渡してしまえば、その扱いをコントロールすることは難しくなります。


そうした状況を一変させたのが、Crimeware-as-a-Service (サービスとしてのクライムウェア)、略して CaaS です。


CaaS を提供する犯罪者が自分のマルウェアを手放すことはありません。新しい亜種を自動生成するツール、マルウェアペイロードを短時間でカスタマイズする技術、感染したファイルを潜在的な被害者に送信するのに使用するネットワークも相手には渡しません。


彼らはマルウェアそのものを売るのではなく、合意した条件の下マルウェアデリバリサービスを販売しています。


つまり、CaaS の「顧客」が成果に応じて料金を支払う方式です。マルウェア攻撃を成功させるために必要な高度な技術を顧客側が理解している必要はありません。


SophosLabs は 2014 年の時点で次のように結論付けています


このモデルの場合、専門化が可能です。作戦をいくつかの領域に分割して、攻撃チームのそれぞれの専門家が個別に作業できるようにします。たとえば、ドイツ語の Web インジェクトはドイツ語圏のメンバーが担当し、二要素認証を迂回するコードの記述は、通常とは異なる情報を持った別のメンバーが担当します。同様に、盗み出したデータも分業化が可能です。


Web インジェクトの概要


Web インジェクトは狡猾な攻撃方法で、重要なユーザーデータを盗み出す Vawtrak などのバンキングマルウェアで使用されます。


従来型のフィッシング攻撃は、ユーザーを偽のサイトに誘導し、機密データを入力させて盗み出そうとするものです。


一方、Web インジェクトは、本物のオンラインバンキングサイトにユーザーがアクセスしてくるのを待ちます。こうすることで、ブラウザのセキュリティ機能が警告を発することがなくなります。


マルウェアは最後に、正規の Web サイトの Web ページをメモリ内で改ざんします。改ざんするタイミングは、Web ページが復号化され認証されてから、ユーザーのブラウザに表示されるまでの間です。


つまり、このマルウェアは正規の Web サイトの正規のページに偽のフィールドを表示させるという方法で、パスワードなどの機密情報を入手することができ、従来型のフィッシング詐欺よりも発見が難しくなっています。


ランサムウェアに取って代わられた?


バンキングマルウェアは非常に悪質ではあるものの、最近のセキュリティニュースを賑わせているのはランサムウェアです。


ランサムウェアの特徴は、突然攻撃を受け、被害が大きい点です。感染したユーザーは、「身代金を払うべきか払わざるべきか」という決断を迫られます。


そのため、Web インジェクトおよびバンキングマルウェアは減少傾向にあると考えてしまうのは当然かもしれません。


しかし、それは危険な間違いです。


Vawtrak 2 – 敵を知ることから始めましょう


Vawtrak を使用する攻撃者は健在なだけでなく、Vawtrak を進化させ続けています。そのため、その CaaS の顧客たちの標的となる国、銀行、ユーザーは拡大しています。


SophosLabs の研究員はこのような現状を受け、大量の新情報を含む追跡調査報告を発表しました。


Vawtrak バンキングマルウェアを分析した前回の報告書を発表した後で、Vawtrak のコードに関して、および標的となっている金融機関や企業に関して、新たに重要な情報がもたらされました。また、複数の広域攻撃キャンペーンが実行され、新しいバージョンの Vawtrak が拡散しています。


2016 年型の CaaS について興味深い考察を行っている追跡調査報告書をぜひお読みください


サイバー犯罪者の考え方を理解することが重要です。


孫子が言うように、「敵を知り己を知れば百戦危うからず」です。


引用元

おすすめの記事はこちら