マルウェア配信担う自己拡大型トロイの木馬に警戒 - 復旧に1億円超えも

従来のバンキングトロジャンから、ダウンローダーにシフトした背景について、Symantecは「Emotet」を利用する攻撃グループ「Mealybug」が、他グループに感染インフラを提供するビジネスに移行したものと分析。検出回避やマルウェアが自己拡散するためのモジュールなどもあわせて提供していると見られている。

その理由として「Emotet」を通じて感染を拡大した「Qakbot」のケースを挙げ、両マルウェアでは同じパッカーが利用される一方、コマンド＆コントロールサーバなど、攻撃後に用いるインフラに共通点が見られなかったと同社は指摘。

メインコンポーネントに使用されたコードやデバッグを無効化する手法も異なり、機能の重複で感染を互いに阻害する面も見られたことから、「Mealybug」では、配信インフラを「Qakbot」を利用するグループに提供したものと判断している。

同グループが収益モデルを変えた理由について、オンラインバンキングで多要素認証の利用が進み、バンキングトロジャンのみで収益をあげることが難しくなりつつあるのではないかと推測。攻撃者におけるビジネスモデルの「進化」や「純化」のひとつと見ている。

（Security NEXT - 2018/07/31 ） ツイート

PR

関連記事

「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
悪意あるファイル、1日あたり約41万件 - 前年比3％増
職員が偽警告にだまされ電話、周囲が気づきLANを遮断 - 富士見市
第三者が県立高PCを不正操作、偽警告にだまされ - 長野県
4月以降「WinRAR」狙うゼロデイ攻撃が発生 - 最新版に更新を
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
「Office」のゼロデイ脆弱性、ロシア攻撃グループが悪用
「ChatGPT」人気に便乗、悪意ある「Androidアプリ」に警戒を
福岡県暴力追放運動推進センターがサポート詐欺被害 - 情報流出のおそれも
「ChatGPT」に便乗、偽アプリが出回る - 実際は情報盗むマルウェア