Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Ursnif」の感染活動で複数のサンドボックス回避技術を利用

オンラインバンキングの利用者などを狙ういわゆる「不正送金マルウェア」である「Ursnif」の感染活動において、複数のサンドボックス回避技術が悪用されている。

同マルウェアは、「Snifula」「Papras」「Gozi」といった別名でも知られるトロイの木馬。同マルウェアのコードを元に作成された後継にあたる「DreamBot」なども流通している。

2017年第3四半期後半より、日本国内のオンラインバンキング利用者を対象とした攻撃が目立っており、さらにオンラインバンキング以外にも、ウェブメール、クラウドストレージ、仮想通貨取引所、eコマースサイトなどのアカウント情報もターゲットとなっている。

トレンドマイクロによれば、「Ursnif」のダウンローダーにマクロを含むWordファイルを用いた攻撃を分析したところ、複数のサンドボックス回避技術が用いられていた。

問題のファイルは、メールで送りつけられており、「送り状」や「支払通知」などを偽装。ソーシャルエンジニアリングで受信者にマクロを有効化するよう促し、マクロよりPowerShellを実行するしくみだった。

Wordファイルを閉じるまで目立った動作せず、ファイルを閉じたあとにPowerShellスクリプトを実行させることで、サンドボックスを回避しようと試みる。

さらにサウンドポックスの解析で「Office 2007」が利用されるケースがあることから、動作環境が「Office 2010」以降であるか確認。「Office 2007」環境でマクロの実行を停止するケースがあったほか、ファイル名の特徴などからサンドボックス環境を検知するケースも確認されているという。

トレンドマイクロが確認したケースでは、いずれもペイロードとなるマルウェアは「Ursnif」。しかし、こうした手法が他マルウェアの感染活動に悪用される可能性もあるとして、同社では警戒を強めている。

(Security NEXT - 2017/11/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

日本語メールで不正「iqyファイル」が大量流通 - 国内IPでのみ感染活動を展開
拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通
2018年1Qの重要インシデント、前四半期から2割減
不正送金マルウェア「Ursnif」の検出が急増 - コインマイナーは大幅減
銀行狙わぬ「バンキングトロジャン」も - 標的はクレカやアカウント、仮想通貨も
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
JPCERT/CC、都内でアナリスト向けのカンファレンスイベント
不正送金マルウェア「Ursnif」、日本を集中攻撃 - 金融機関以外も標的に
目立つ「HeartBleed」関連インシデント - ラック報告
仮想通貨取引所やウェブウォレットのアカウント情報がマルウェアの標的に