Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Ursnif」の感染活動で複数のサンドボックス回避技術を利用

オンラインバンキングの利用者などを狙ういわゆる「不正送金マルウェア」である「Ursnif」の感染活動において、複数のサンドボックス回避技術が悪用されている。

同マルウェアは、「Snifula」「Papras」「Gozi」といった別名でも知られるトロイの木馬。同マルウェアのコードを元に作成された後継にあたる「DreamBot」なども流通している。

2017年第3四半期後半より、日本国内のオンラインバンキング利用者を対象とした攻撃が目立っており、さらにオンラインバンキング以外にも、ウェブメール、クラウドストレージ、仮想通貨取引所、eコマースサイトなどのアカウント情報もターゲットとなっている。

トレンドマイクロによれば、「Ursnif」のダウンローダーにマクロを含むWordファイルを用いた攻撃を分析したところ、複数のサンドボックス回避技術が用いられていた。

問題のファイルは、メールで送りつけられており、「送り状」や「支払通知」などを偽装。ソーシャルエンジニアリングで受信者にマクロを有効化するよう促し、マクロよりPowerShellを実行するしくみだった。

Wordファイルを閉じるまで目立った動作せず、ファイルを閉じたあとにPowerShellスクリプトを実行させることで、サンドボックスを回避しようと試みる。

さらにサウンドポックスの解析で「Office 2007」が利用されるケースがあることから、動作環境が「Office 2010」以降であるか確認。「Office 2007」環境でマクロの実行を停止するケースがあったほか、ファイル名の特徴などからサンドボックス環境を検知するケースも確認されているという。

トレンドマイクロが確認したケースでは、いずれもペイロードとなるマルウェアは「Ursnif」。しかし、こうした手法が他マルウェアの感染活動に悪用される可能性もあるとして、同社では警戒を強めている。

(Security NEXT - 2017/11/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2021年に観測が多かったマルウェア、大半が5年以上活動 - ランサム感染にも関与
「Emotet」感染、2月第1週より急速に拡大 - ピーク時に迫る勢い
HTTPS通信の脅威遮断、前年比3.1倍に - 約9割がマルウェア
マルウェア設定情報の抽出ツールを公開 - JPCERT/CC
不正送金マルウェア「Ursnif」、日本を集中攻撃 - 金融機関以外も標的に
アダルトサイト有料会員狙う攻撃が拡大 - ダークウェブで売買されるアカウント
ボットネット「Cutwail」、日本狙うメール攻撃に新展開 - 画像に命令埋め込む「ステガノグラフィ」を悪用
日本語メールで不正「iqyファイル」が大量流通 - 国内IPでのみ感染活動を展開
拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通
2018年1Qの重要インシデント、前四半期から2割減