ブタマダニによるマルウェア発見!

嫉妬深い詐欺写メ逆ディープフェイク犯罪収益マネロンブタマダニの不正アクセスで侵入したウイルス発見!

 

f:id:technocat1026:20201121001801j:image

 

マルウェアの発見方法

iPhoneのメール機能では不可視の状態だったのですが、マイクロソフトのメールアプリOutlookで上記のウイルスファイルを発見しました。

iPhoneユーザーは特にOutlookのダウンロードを推奨しておきます。

Apple Storeからのダウンロードはこちらから。

https://apps.apple.com/jp/app/microsoft-outlook/id951937596

 

マルウェア検出されたら最寄りのサイバー犯罪対策室に通報願

https://www.npa.go.jp/cyber/soudan.htm

 

もう、公訴前の犯罪事実でブタマダニの実名上げる。

鈴木聖奈が出演する「ええじゃないか」で紹介されるアプリに注意してください。

僕のハッキング犯人は利害関係から詐欺写メ逆ディープフェイクのマネロン女鈴木聖奈とその関係者です。

 

このウイルスを調べてみた。

NTTがTwitterで警鐘してる。

https://twitter.com/globalntt_jp/status/870212787783389184?s=21

 

マルウェアスパムのばらまきを観測しました。正しいメール形式でないため、メールソフトによっては正常に表示されない場合があります。添付された Excel ファイルを開くとバンキングマルウェア「Ursnif」に感染しますので、不用意にファイルを開かないようご注意ください。

画像。こんなファイルが添付してたら要注意!

 

f:id:technocat1026:20201121000248j:image

 

バンキングマルウェア「Ursnif」に対する警告資料を作っておこう。

 

資料①

https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/web-attack/157/sniffing-out-ursnif

 

「URSNIF」は、他の不正プログラム(例:バックドア型やファイル感染型)からさまざまな機能を採用する情報窃取型不正プログラムとして知られています。こうした手法を駆使して、検出回避を可能にし、より効果的な情報窃取活動を目論んでいるようです。2014年12月以降、米国のユーザへの感染や、英国内での感染が確認されています。

さまざまなタイプの不正プログラムの機能を採用する中、「URSNIF」の不正活動として注目すべき機能は、以下のとおりです。

ファイル感染
特定のプロセスへコードの挿入
アクティブなブラウザ上でAPIをフック
ブラウザ上での活動のスクリーンショット取得
バックドア活動(不正リモートユーザのコマンドを実行)
 

新たに確認される「URSNIF」の亜種が増加する中、採用される不正機能の数も同様の傾向を示しています。この点からも、サイバー犯罪者が被害の拡大を狙い、不正プログラムの仕様や機能へ調整を施していることが伺えます。

「URSNIF」は、ユーザのコンピュータへどのように侵入しますか

「URSNIF」の亜種は、多くの場合、他の不正プログラムによってリモートサイトからダウンロードされるかスパムメールを介してコンピュータに侵入します。加えて、リムーバブルドライブやネットワーク共有を介して他のコンピュータへ拡散する亜種も確認されています。

「URSNIF」がコンピュータに感染すると、どのような不正活動が展開されますか

 

「URSNIF」の感染活動は亜種によって異なります。典型的な感染活動は、以下のとおりです。

コンピュータに侵入すると、「URSNIF」の亜種が自身のコピーを作成する。
コンピュータの起動時に自動実行するようレジストリ値を作成する。
explorer.exe”や、 “smss.exe”、”csrss.exe” などの特定のプロセスへ自身を挿入する。
“.PDF” や ”.EXE” などの特定のファイルタイプや拡張子のファイルを検索し、それらへファイル感染する。
感染コンピュータからシステム情報を収集する。特にデジタル認証、コンピュータ名、プロセス、特定のレジストリの内容、cookieやドライバの情報等を窃取。ブラウザ上での活動のスクリーンショットを取得する場合もある。
C&Cサーバと通信し、窃取した情報の送信したり、不正リモートユーザからのコマンドを実行したりする場合もある。
 

「URSNIF」に感染したユーザには、どのような被害が及ぶのでしょうか

「URSNIF」の情報窃取機能により、ユーザは、ネットバンキングのアカウント認証情報など、個人情報盗難の被害に見舞われます。また、ユーザの活動を監視するため、アクティブなブラウザ上でさまざまな実行ファイルやAPIをフックします。この手法により、ブラウザの使用中に送受信される情報の傍受や窃取が可能になります。こうした活動により、ユーザは金銭的損失を被り、窃取された金銭は、サイバー犯罪活動の資金源となる可能性もあります。

ブラウザ上での活動のスクリーンショットも取得され、ユーザのプライバシーが侵害されます。取得されたスクリーンショットには、ユーザが誰とも共有したくないプラベートな詳細や行動が含まれている場合もありえます。結果、ユーザのプライバシーが損なわれたり、恐喝の材料に悪用される恐れもあります。

なぜ、「URSNIF」の脅威に注意が必要なのですか

「URSNIF」は、複数の情報窃取機能を備えて多様化しているだけではなく、検出回避のためにファイル感染活動も駆使するため、注意が必要です。実際、「URSNIF」の亜種は、他の不正プログラムの機能を採用して多様な形式で登場し、ファイル感染の手法もさまざまであることから、「ポリモーフィック型の特徴を備えている」とさえ言えます。こうした特徴のため、今後登場する亜種は、それぞれが大きく異なり、感染の時点で従来のセキュリティ対策では検知されず、亜種ごとに全く別の検出対応が必要となる可能性もあります。

2014年末に確認された「PE_URSNIF」の亜種も、検出回避のために独特のファイル感染手法を備えていました。この場合、PDFファイルが利用されました。侵入後、この亜種は、コンピュータ内で確認したPDFファイルへ自身および自身のコピーを埋め込みます。このため、偽装されたこの亜種をユーザが実行した際、PDFファイルも同時に開かれ、この亜種自体の起動が隠ぺいされます。PDFファイルの方は、直接的なファイル感染の被害は受けず、不正プログラムに利用されるだけのようです。

このように「URSNIF」の背後のサイバー犯罪者は、不正プログラムの作成に際して新たな機能を追加し続けています。こうした事実からも、「URSNIF」は、今なおエンドユーザを狙う脅威であり、厳重な注意が必要となります。

 

資料②

 

https://www.lac.co.jp/lacwatch/people/20160615_000362.html

 

一般財団法人日本サイバー犯罪対策センター(JC3)にて注意喚起※1が出されているUrsnif(別名:Gozi 他)が3月以降、猛威を振るっています。

JSOC監視中のお客様では昨年、Citadel、ZeusVM およびその亜種など、さまざまな種類のマルウェアの感染事例が大量に発生し大きな被害を与えました。
今年に入ってからは、3月頃からJSOCにて監視を行っている多数のお客様にてUrsnif(別名:Gozi 他)に感染したと考えられる通信を多数検知しています。

Ursnif は、クレジットカードや金融機関関連情報を窃取するなどの機能がある不正プログラムです。
また Ursnif は、キー入力操作情報を収集して送信する機能を持っているため、感染した端末からは、金融機関関連情報や、その他の重要な情報が流出する恐れがあります。

Ursnif に関連するインシデント件数

これは4月、5月のマルウェア感染インシデントの2割以上を占めています。
不正に広告クリック通信を行うマルウェアである Bedepの感染通信とあわせて検知する場合も多く、他の種類のマルウェアに感染した後に Ursnif に感染しているようです。

原因について明確になっているものは少ないですが、改ざんされたWebサイトや不正広告などからエクスプロイトキットとよばれる攻撃コードを設置されたサイトに転送され感染する、Web 経由の感染や、メールで送られてきた添付ファイルを開いて感染する、メール経由の感染などの可能性が高いようです。

感染しないための対策
これらに感染し被害にあうことがないよう、以下の対策を実施してください。

Windows OS や Office 製品の修正プログラムをすべて適用する
ウイルス対策ソフトウェアやパーソナルファイアウォール製品などを導入し、最新の定義ファイルでの運用を徹底する
サードパーティ製のアプリケーション(Adobe ReaderAdobe Flash Player など)を利用している場合は、常に最新の状態に保つ、もしくは、不要なアプリケーションはアンインストールする
脆弱性を悪用されないよう、マイクロソフト社が提供しているEMET を導入する
不審なメールの添付ファイルやURLを開かないよう、ユーザへの教育を実施する
手口や被害事例について、常に最新の情報をセキュリティ情報サイトやニュースサイトから入手する
「悪意のあるソフトウェアの削除ツール」を導入する
本日(6/15)公開されたの「悪意のあるソフトウェアの削除ツール」では、新たに Win32/Ursnif に対する定義ファイルが追加されています。※4

 

資料③

https://internet.watch.impress.co.jp/docs/news/1159043.html

 

この攻撃では、「.docx」形式のWord文書が利用されており、同文書はスパムメールの添付ファイルやURLリンク、他のマルウェアなどを通じてダウンロードされる。

 動画埋め込み機能では、YouTubeや他のメディアプラットフォームの外部ソースからの動画を埋め込むことができる。このWord文書に埋め込まれた動画の画面をクリックすると、テキスト共有サイト「Pastebin」のURLにアクセスして悪意のあるスクリプトを読み込む。同スクリプトは別の不正URLにアクセスし「URSNIF」の亜種をダウンロードするもの。Adobe Flash Playerのアップデートに偽装した画面が表示されたあと、ウェブラウザーのダウンロードマネージャでプログラムの実行あるいは保存を促してくる。

 

f:id:technocat1026:20201121023241j:image

 

 

資料④

NTTによるバンキングマルウェア「Ursnif」解析レポートPDF

https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/jp_ursnif_20161226

 

なお、同じ「はてなブログ」に、同じマルウェアと思われるメールに添付される不審メールの詳細があったので引用します。

上手く引用出来ないのでHTMLリンク貼ります。

 

まず、Torつまりはハッキングされた情報はダークwebに繋がっていると言う報告から。

 

https://bankingmalware.hatenablog.com/entry/2019/07/01/095831 

 

☆以下引用本文

 

・Torモジュールのダウンロードおよびレジストリに書き込み

UrsnifはTorClientのDLLモジュールをダウンロードし、C&Cサーバとの通信の隠ぺいを試みます。今回は下記のキャプチャの通り、hxxp://h33a7jzovxp2dxfg[.]onionにアクセスし、またTorClientのモジュール情報がレジストリに書き込まれたことが確認。

 

☆引用ここまで。

 

犯人の作成した添付ファイル情報。

https://bankingmalware.hatenablog.com/entry/2019/05/09/194159

 

☆以下引用本文


本解析の内容については、以前にbomさんのブログにて解析されていた情報とほぼ同じとなります。
https://bomccss.hatenablog.jp/entry/2019/04/30/235933

<メール情報>
メールそのものは入手できていないため、twitter上で公開されていた情報を纏めています。
◾️件名:
Fw:

◾️添付ファイル:
0805.rar
0805.zip
1.doc.rar
1.doc.zip
1.rar
1.zip
2019.rar
2019.zip
20190508.rar
20190508.zip
doc.rar
doc.zip
→zipにはjsファイルが含まれています。
   例:
   1.doc.js
   https://app.any.run/tasks/3262d9c4-860f-43f8-b45e-43936f4748ed
   doc.js
   https://app.any.run/tasks/017780f8-5bcc-49be-9e42-fb4cbaaa972b
   →any.run上で動作していることからサンドボックス製品を開始するような
      機能はないと思われます。
   
■送信者名
"Takashi Suzuki"
※メールアドレスは詐称している可能性有

 

■本文
パターン1:
「立ち退き通知書
詳細状況は添付資料にて送りますので、ご確認ください

Takashi Suzuki」

パターン2:
「立ち退き通知書
詳細状況は添付資料にて送りますので、ご確認ください
アーカイブ されたファイルのパスワードは123456です。よろしくお願いします。
Takashi Suzuki」

※パスワード付きの不審メールもばら撒かれていたようです。

参考情報:
https://www.daj.jp/bs/d-alert/bref/?bid=23
https://twitter.com/bomccss

 

☆引用ここまで。

 

鈴木タカシってお前…苗字が完全に一致してるぞw

 

重要

ちなみに、バンキングマルウェア「Ursnif」はクレジットカードなどの個人情報盗みます。

 

2014年7月24日発覚したDCカードのクレジットカードパスワード泥棒は鈴木聖奈と仲間たちです。

 

鈴木聖奈が紹介するアプリケーションに注意してください。