IBM X-Forceの最新レポートは、Grandoreiroマルウェアの動向の変化を明らかにしています。このバンキング型トロイの木馬は現在、60カ国以上、1,500以上の銀行を標的とすることが可能となっており、新機能が追加されています。
また、Grandoreiroの標的は拡大しており、当初はスペイン語圏の国のみを標的としていましたが、最近の攻撃キャンペーンではヨーロッパ、アジア、アフリカの国々も標的としています。さらに、このマルウェアは現在、被害者のMicrosoft Outlookローカルクライアントから、ローカルシステムに登録されている受信者のメールアドレスに直接フィッシングメールを送信するようになりました。
Grandoreiroとは何ですか?
インターポールによると、バンキング型トロイの木馬「グランドレイロ」は2017年以来、スペイン語圏の国々で大きな脅威となっている。このマルウェアの主な機能は、バンキング型トロイの木馬としての機能に加え、サイバー犯罪者が感染したコンピューター上のデバイスを制御したり、キーロギングを有効にしたり、ウィンドウやプロセスを操作したり、ブラウザーを開いてその中でJavaScriptを実行したり、ファイルをアップロードまたはダウンロードしたり、電子メールを送信したりすることを可能にする。
さまざまな攻撃キャンペーンを分析した結果、多くのオペレーターがGrandoreiro攻撃に関与していることが明らかになった。サイバーセキュリティ企業カスペルスキーは2020年7月に、「このキャンペーンがMaaS(サービスとしてのマルウェア)ビジネスモデルを使用していることは明らかだが、このマルウェアを特定のサイバー犯罪グループに結び付けることはまだできない」と述べている。
参照:カスペルスキーの調査:データ窃盗マルウェアに感染したデバイスは2020年以降7倍に増加
2021年には、Grandoreiroに関連するサイバー犯罪容疑者の逮捕が相次ぎ、スペイン警察はGrandoreiroを含む2つのバンキング型トロイの木馬を通じて盗まれた資金をロンダリングした容疑で16人の容疑者を逮捕しました。さらに最近では、ブラジル当局がこのバンキング型マルウェアの背後にいる5人のプログラマーと管理者を逮捕しました。彼らは被害者から350万ユーロ以上を詐取した疑いがあります。
しかし、IBMのX-Forceチームの新しい調査によると、ブラジルで開発されたこのマルウェアは今も活動しており、日本、オランダ、イタリア、南アフリカなど他の国々に標的リストを拡大し始めているという。
Grandoreiro キャンペーンはどのように機能しますか?
グランドレイロのすべてのキャンペーンはフィッシングメールから始まる
2024年3月以降、Grandoreiroによる複数のフィッシング攻撃が、メキシコ税務行政サービス、メキシコ連邦電力委員会、アルゼンチン歳入庁など、メキシコの組織になりすましています。
2024年3月以降、メールではさまざまなソーシャルエンジニアリングの手法が使用され、ユーザーにリンクをクリックするよう誘導しています。たとえば、借金を支払うための最終通知、PDFまたはXML形式で口座明細書にアクセスできるというリマインダー、コンプライアンス通知の詳細を読むようにというリマインダーなどです。
これらのフィッシング キャンペーンでは、電子メールに記載されているリンクをクリックすると、特定の国 (メキシコ、チリ、スペイン、コスタリカ、ペルー、アルゼンチン) のユーザーのみがペイロードにリダイレクトされます。
グランドレイロの運営者が最近逮捕されたことを受けて、研究者らは、通常のスペイン語圏の国以外にも日本、オランダ、イタリア、南アフリカなど、英語で書かれた電子メールを使って国々を狙った攻撃が急増していることを確認した。
次に感染連鎖が起こります
ユーザーがフィッシング メール内の悪意のあるリンクをクリックすると、カスタム ローダーが起動し、偽の Adobe PDF Reader キャプチャが表示されます。実行を続行するにはクリックする必要があります。これは、実際のユーザーとサンドボックスなどの自動化システムを区別するためだと考えられます。
次に、ローダーは被害者のデータを収集し、AESおよびBase64アルゴリズムに基づく暗号化を使用してコマンド&コントロールサーバーに送信します。C2サーバーに送信されるデータは、コンピュータ名とユーザー名、オペレーティングシステムのバージョン、アンチウイルスソフト名、被害者のパブリックIPアドレス、実行中のプロセスのリストで構成されます。さらに、ローダーはMicrosoft Outlookクライアント、暗号通貨ウォレット、IBM TrusteerやTopaz OFDなどの特別な銀行セキュリティ製品の存在も確認します。
このローダーは、IPアドレスに基づいて特定の国からのアクセスを拒否するように設定できます。IBM X-Forceが発見したマルウェアサンプルの1つは、ユーザーがロシア、チェコ共和国、ポーランド、またはオランダに所在する場合に停止しました。
すべての条件が満たされると、Grandoreiro バンキング型トロイの木馬がダウンロードされ、RC4 ベースのアルゴリズムによって復号化されて実行されます。
世界中の1,500以上の銀行をターゲットに
IBM X-Forceによると、Grandoreiroの標的アプリケーションのリストは世界中で1,500以上の銀行に拡大しており、銀行アプリケーションは地域にも関連付けられています。例えば、被害者の国がベルギーであると特定された場合、マルウェアはヨーロッパ地域に関連するすべての標的の銀行アプリケーションを検索します。
さらに、マルウェアは暗号通貨ウォレットを識別するために 266 個の固有文字列を使用します。
Grandoreiroの最近のアップデート
新しいDGAアルゴリズム
研究者の Golo Mühr 氏と Melissa Frydrych 氏はマルウェアを詳細に分析し、従来はドメイン生成アルゴリズムを使用して C2 サーバー参照を見つけていたこのマルウェアに、改良された DGA が含まれていたことを発見しました。
新しいアルゴリズムは、DGA に複数のシードを導入し、「バンキング型トロイの木馬の各モードまたは機能ごとに異なるドメインを計算するために使用され、Malware-as-a-Service 操作の一環として、C2 タスクを複数のオペレーター間で分離できるようにします」と研究者らは述べています。
分析した 1 つのサンプルでは、特定の日に 12 個のドメインが C2 ドメインとして使用され、そのうち 4 個がその日にアクティブで、ブラジルを拠点とする IP アドレスにつながっていました。
Microsoft Outlook の不正使用
Grandoreiro の最新バージョンは、感染したコンピュータでローカルの Microsoft Outlook ソフトウェアが利用可能な場合、それを悪用します。
このマルウェアは、Outlook アドインを開発するために設計されたツールである Outlook セキュリティ マネージャー ツールと連携します。このツールを使用することで、マルウェアは被害者のメールボックスにあるすべての送信元メールアドレスの収集を開始する前に Outlook 内のアラートを無効にし、「noreply」、「feedback」、「newsletter」など、マルウェアのブロックリストに含まれる不要なメールアドレスを収集しないようにフィルタリングします。
さらに、マルウェアは被害者のフォルダの一部を再帰的にスキャンして、.csv、.txt、.xls、.doc などの特定の拡張子を持つファイルを探し、さらに多くの電子メール アドレスを探します。
その後、マルウェアは C2 サーバーから受信したフィッシング テンプレートに基づいてスパムの送信を開始し、送信されたメールをすべて被害者のメールボックスから削除します。
コンピュータの不審な動作に気付く可能性のあるユーザーに捕まるのを避けるために、マルウェアの一部の亜種では、マシンへの最後の入力から少なくとも 5 分以上経過した場合にのみ、マルウェアは電子メールの送信を開始します。
Grandoreiroマルウェアの脅威から身を守る方法
- 綿密なネットワーク分析を実施してください。特に、ip-api.com/jsonへのリクエストが複数回連続して発生している場合は、Grandoreiro感染の兆候である可能性があるため、アラートを発動し、調査を実施する必要があります。
- Windowsレジストリ内の実行キーを監視します。通常のソフトウェアインストール以外で追加されたキーは、マルウェアの活動を検出するために綿密に調査する必要があります。
- 事前に計算された DGA ドメインを DNS 経由でブロックします。
- マルウェアを検出するために、すべてのコンピューターにエンドポイント セキュリティ ソフトウェアを導入します。
- フィッシングメールや潜在的な詐欺行為を検出するために、ユーザーとスタッフを教育します。
- 一般的な脆弱性による感染を防ぐために、すべてのハードウェアとソフトウェアを最新の状態に保ち、パッチを適用してください。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
