SophosLabs: バンキングマルウェア Vawtrak が進化し、標的が拡大

2016.06.16

過去 1 年間に多くの国の金融機関に対してバンキングマルウェアの新しいバージョンを使用した攻撃が実行されている、と SophosLabs は新たな調査レポートで報告しています。


Vawtrak (別名 NeverQuest または Snifula) が登場してから数年経ちましたが、今なお Crimeware-as-a-Service (CaaS: サービスとしてのクライムウェア) キットとしてさまざまなサイバー犯罪グループに使用されています。


SophosLabs が Vawtrak version 2 と名付けたこのマルウェアを分析したところ、ニーズに応えるため、またセキュリティ機能の一歩先を行くために更新が頻繁に行われており、複数の新技術が導入されていることが明らかになりました。


Vawtrak version 2 が配達通知に見せ掛けた電子メールを介して拡散していること、また、Pony マルウェアに感染済みのコンピュータにドロップされていることが SophosLabs によって確認されています。


ソフォスが前回 Vawtrak に関する調査レポートを発表して以降、新たな銀行や国が標的となっています。攻撃キャンペーンが実行されている国は、米国、カナダ、英国、日本、イスラエルなどで、中でも最大の標的となっているのが米国です。


以前の分析で標的国の上位を占めていたのはドイツとポーランドでしたが、version 2 を使用した大規模な攻撃はこの 2 か国では確認されませんでした。


標的の場所が変化したことから、Vawtrak の顧客の関心が別の国に移ったと考えられますが、サーバー側のチェック (被害者の IP アドレスのジオ IP 検索など) が原因で、ドイツとポーランド用の構成ファイルを SophosLabs が確認できなかった可能性もあります。 


Vawtrak version 2 に導入された新技術


Vawtrak の開発者は、version 2 に向けて機能を高め、セキュリティ対策を欺き、セキュリティ研究者を困らせることに膨大な労力をつぎ込んできました。


SophosLabs によると、Vawtrak version 2 には Vawtrak の分析に使用される既存のツールを無効にする新機能がいくつか加えられています。


「たとえば、難読化のレベルが上がっていたり、暗号化の方法が変更されたりしています。<中略> こうした変更の目的は、これまでの Vawtrak の検体で使用されていたアルゴリズムを実装した既存のツールを、一時的にでも無効にすることだと考えられます」


さらに、Vawtrak version 2 は以前よりも簡素化されており、感染のために最初に使用されるペイロードのサイズが小さくなっています。したがって、Vawtrak の作成者は、標的を選ぶためのモジュールとして追加・配備が可能な高度な機能を導入できます。


Vawtrak version 2 の詳細な技術的分析および調査に基づく洞察については、SophosLabs による調査レポートをダウンロードしてください。


SophosLabs について


SophosLabs は、ソフォスの研究者とアナリストが常駐する脅威情報センターのグローバルネットワークです。


Naked Security およびソフォスのブログでは、業界をリードするソフォスの調査レポートとテクニカルペーパー、専門家の意見、セキュリティアドバイスを提供しています。


ソフォスブログのニュースレターに登録する、ソーシャルメディアネットワークでソフォスをフォローする、ソフォスのフォーラムでチャットする、ソフォスのポッドキャストをダウンロードする、またはソフォスの RSS フィードに登録する、のいずれかの方法で最新情報をぜひ入手してください。

引用元

おすすめの記事はこちら