IBMは、Chromeブラウザの拡張機能になりすましていることでラテンアメリカの銀行を狙うバンキングトロイの木馬「UnregStealer」を発見した。シニア脅威リサーチャーのItzhak Chimino氏は、このマルウェアが必須のSSL証明書更新に関する偽のセキュリティ警告を表示することで、ユーザーにそれをインストールさせるように欺くと報告した。このトロイの木馬は手動の人間による監視で動作するため、ペイロードが起動しないサンドボックスや挙動検知システムにはほぼ見えない。この運用方法により、UnregStealerは、標的となる銀行ポータルにアクセスした被害者から、セッションクッキー、パスワード、ワンタイムパスワード、口座番号を盗み出す。
UnregStealerはSSL証明書の更新として偽装する
Chiminoによると、UnregStealerは捏造したセキュリティ警告でユーザーをだます。実行ファイル名の命名規則と配布パターンに基づき、被害者には、ブラウザに必須のSSL証明書更新が必要だと告げるように見える警告が提示される。証明書は完全に偽造されており、そのようなブラウザ要件は存在しない。これは、被害者に実行ファイルを起動させるための説得力のある言い訳にすぎない。
マルウェアはセッション監視を通じて銀行の認証情報を取得する
ユーザーがインターネットを閲覧しているとき、マルウェアは、被害者が標的の銀行ポータルとして挙げられたサイトのいずれを訪問しているかを確認するスクリプトを実行する。そうであれば、マルウェアは被害者が閲覧している銀行Webサイトのセッションクッキーを盗む。フィールドがクリックされ、情報が入力されるたびに、マルウェアはパスワード、ワンタイムパスワード、口座番号といった特権情報を取得する。
手動での運用により検知システムの回避を可能にする
Chiminoは、このトロイの木馬には各被害者のセッションをリアルタイムで監視し、トリガーを手動で切る実在のオペレーターが関与していると説明した。この変種により、ペイロードが起動しないサンドボックスや挙動検知システムには、このキャンペーンがほぼ見えなくなる。情報が取得された後、UnregStealerの次の行動は人間のオペレーターによって決定される。
IBMは、標的拡大の可能性を特定
Chiminoによると、UnregStealerのバンキングマルウェアには、より大きな脅威となる能力と可能性があるという。観測されたインフラのパターンは、この調査で確認された範囲を超えて標的を拡大する能力と意欲を持つオペレーターの存在を示唆している。
FAQ
UnregStealerとは何で、どのように被害者を狙うのか?
UnregStealerは、Chromeブラウザの拡張機能になりすましてラテンアメリカの銀行を標的にするバンキングトロイの木馬だ。必須のSSL証明書更新に関する完全に偽造された偽のセキュリティ警告によって、ユーザーにインストールさせる。
UnregStealerはどのように検知システムを回避するのか?
マルウェアには、各被害者のセッションをリアルタイムで監視し、トリガーを手動で切る実在のオペレーターが関与する。この手動運用により、ペイロードが起動しないサンドボックスや挙動検知システムから、このキャンペーンはほぼ見えなくなる。
UnregStealerは被害者からどのような情報を盗むのか?
UnregStealerは銀行Webサイトのセッションクッキーを盗み、標的となる銀行ポータルでフィールドがクリックされ、情報が入力されるたびに、パスワード、ワンタイムパスワード、口座番号といった特権情報を取得する。
