不正送金マルウェア「Ursnif」、日本を集中攻撃 - 金融機関以外も標的に

9月前後より不正送金マルウェア「Ursnif」の攻撃対象が日本国内の金融機関を中心に展開されていることがわかった。金融機関以外のアカウント情報が狙われることもあり、警戒が必要だ。

「Ursnif」は、「Snifula」「Papras」「Gozi」といった別名でも知られるトロイの木馬。同マルウェアのコードを元に作成された後継「DreamBot」も出回っている。

同マルウェアは2016年以降、活発な動きを見せているが、IBM X-Forceによれば、2017年第3四半期後半から9月ごろにかけて、日本国内のオンラインバンキング利用者を対象とした攻撃が開始されたという。

感染経路は、通販事業者や公共料金の請求書などを装ったメールで、HTMLメールのリンクよりJavaScriptを含むzipファイルをダウンロードさせ、PowerShellスクリプトを実行させる手口が確認されている。

また悪意あるファイルを閉じたあとにPowerShellを実行させるなど、サンドボックスによる検知を回避する手口が用いられていた。

（Security NEXT - 2017/10/27 ） ツイート

PR

関連記事

マルウェア設定情報の抽出ツールを公開 - JPCERT/CC
アダルトサイト有料会員狙う攻撃が拡大 - ダークウェブで売買されるアカウント
ボットネット「Cutwail」、日本狙うメール攻撃に新展開 - 画像に命令埋め込む「ステガノグラフィ」を悪用
日本語メールで不正「iqyファイル」が大量流通 - 国内IPでのみ感染活動を展開
拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通
2018年1Qの重要インシデント、前四半期から2割減
不正送金マルウェア「Ursnif」の検出が急増 - コインマイナーは大幅減
銀行狙わぬ「バンキングトロジャン」も - 標的はクレカやアカウント、仮想通貨も
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
「Ursnif」の感染活動で複数のサンドボックス回避技術を利用