Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Ursnif」の感染活動で複数のサンドボックス回避技術を利用

オンラインバンキングの利用者などを狙ういわゆる「不正送金マルウェア」である「Ursnif」の感染活動において、複数のサンドボックス回避技術が悪用されている。

同マルウェアは、「Snifula」「Papras」「Gozi」といった別名でも知られるトロイの木馬。同マルウェアのコードを元に作成された後継にあたる「DreamBot」なども流通している。

2017年第3四半期後半より、日本国内のオンラインバンキング利用者を対象とした攻撃が目立っており、さらにオンラインバンキング以外にも、ウェブメール、クラウドストレージ、仮想通貨取引所、eコマースサイトなどのアカウント情報もターゲットとなっている。

トレンドマイクロによれば、「Ursnif」のダウンローダーにマクロを含むWordファイルを用いた攻撃を分析したところ、複数のサンドボックス回避技術が用いられていた。

問題のファイルは、メールで送りつけられており、「送り状」や「支払通知」などを偽装。ソーシャルエンジニアリングで受信者にマクロを有効化するよう促し、マクロよりPowerShellを実行するしくみだった。

Wordファイルを閉じるまで目立った動作せず、ファイルを閉じたあとにPowerShellスクリプトを実行させることで、サンドボックスを回避しようと試みる。

さらにサウンドポックスの解析で「Office 2007」が利用されるケースがあることから、動作環境が「Office 2010」以降であるか確認。「Office 2007」環境でマクロの実行を停止するケースがあったほか、ファイル名の特徴などからサンドボックス環境を検知するケースも確認されているという。

トレンドマイクロが確認したケースでは、いずれもペイロードとなるマルウェアは「Ursnif」。しかし、こうした手法が他マルウェアの感染活動に悪用される可能性もあるとして、同社では警戒を強めている。

(Security NEXT - 2017/11/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
JPCERT/CC、都内でアナリスト向けのカンファレンスイベント
不正送金マルウェア「Ursnif」、日本を集中攻撃 - 金融機関以外も標的に
目立つ「HeartBleed」関連インシデント - ラック報告
仮想通貨取引所やウェブウォレットのアカウント情報がマルウェアの標的に
「Apache Struts 2」関連のインシデント検知が増加 - ラック
JavaScriptマルウェアが減少、実行ファイルやPDF形式が増加 - ESET
「WannaCrypt」騒ぎの裏で情報窃取マルウェアがメールで大量拡散 - 半数は「駐禁報告書」偽装
2016年下半期はメール経由の攻撃が2.5倍 - 9割超が「Locky」感染目的
2月のESETによるマルウェア検出、6割以上がJavaScript型