ブラジルの銀行口座を狙った新たなマルウェアがIBMの研究者によって見つかりました。ビデオ会議ソフトウェアを装った攻撃の特徴から「Vizom」と名付けられています。
threatpost.com
ブラジル人は、被害者の財務データを吸い上げて銀行口座を空にするために、Windowsユーザーを標的とする新しいオーバーレイマルウェアについて警告を受けています。研究者たちは、Vizomと呼ばれるマルウェアが、Windowsエコシステムの創造的な悪用で補うほど洗練されていないことを述べています。
ボストンを拠点とするIBMSecurityの調査部門であるTrusteerは、新しいコードがブラジルのオンライン銀行ユーザーを対象としたキャンペーンで積極的に使用されていると述べました。オーバーレイマルウェアはラテンアメリカで蔓延しており、過去10年間で最大の犯罪者でした。
Vizomは、攻撃ベクトルが潜在的な被害者の受信トレイに配信されるマルスパムおよびフィッシングキャンペーンを介しているという点で、他のオーバーレイマルウェア株と似ています。
(Threat Post記事より引用)※機械翻訳
キタきつねの所感
昨日の海外記事では多くのサイトでこの攻撃手法が取り上げられていました。
Vizomの動作については、以下の様になる様です。(Security Inteligence記事より引用)
オーバーレイ攻撃は古くから存在しますが、ブラジルでは10年以上攻撃が拡大している様です。記事ではブラジルの銀行が大規模な対象となっており、同じ手法が欧州でも確認されているとあります。
この攻撃は、理論上は日本の金融機関でも十分成立しますので、留意が必要かと思います。
攻撃の中身を詳しく見ていくと、
Vizomは、スパムベースのフィッシング攻撃によって拡大し、名前は出されていませんが恐らくZoomの(記事では”ビデオ会議ソフトウェア”と書かれています)子プロセスとしてDLL(Vizomマルウェア:Cmmlib.dll)をWindowsベースマシンの正規ディレクトリにロードします。【DLLハイジャック】
この後、ドロッパー(ハッカー)は、コマンドプロンプト経由でzTscoder.exeを起動し、リモートアクセスが可能なトロイの木馬(RAT)に感染させます。ここでブラウザのショートカットが改ざんされて独自の実行ファイルにつながり、ユーザーがどのブラウザを使っても、バックグラウンドでVizomが実行される(C2サーバーと交信し、行動が監視されている)事になります。
Vizom感染ユーザーがオンラインバンキングにアクセスすると、オペレーター(ハッカー)は感染PCに侵入し、セッションを乗っ取り、コンテンツ(オンラインバンキングの送金画面等)をオーバレイして(透明な偽画面を被せて)、感染ユーザーの銀行口座のアクセスとアカウント認証情報を窃取します。【オーバーレイ】
窃取されたデータは、キーロガーで収集され、C2サーバーに送信されます。
この攻撃は、「フィッシングメール」、「DLLハイジャック」、「オーバーレイ」と既存の攻撃手法の組み合わせではありますが、人気の会議ソフトZoomの子プロセスを装うといった改良が加えられています。
アンチウィルスソフトが(暫くすると)検知してくれる可能性もありますが、亜種がすぐに出てくる事などを考えると、油断は出来ない攻撃手法かと思います。
オーバーレイページ(透明の騙し入力画面)が日本語サイトに対応できるのかは、記事からは判断つきませんが、(日本の金融機関サイトの分析が進むと)カスタマイズされ、日本が攻撃対象になる日はそう遠くない気がします。
こうしたオーバーレイ攻撃のやっかいな所は、SMS-OTPやトークン型のOTPといった2要素認証では、こうした”中間者攻撃”を防げないという事です。
FIDO等、別経路で認証を行う生体認証であれば攻撃への耐性があるかと思いますが、日本で主流の認証コードを入力する様な手法は、他のセキュリティ対策による多層防御がしっかりしていなければ、どこかで大きな被害を受けてしまう可能性を感じます。
※詳細の攻撃手法については、IBMの記事をご覧ください。
securityintelligence.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
