ブラジルのユーザを標的にしたバンキング型トロイの木馬
執筆/投稿者:Warren Mercer、Paul Rascagneres および Vanja Svajcer
はじめに
バンキング型トロイの木馬は、金銭的損失という直接的な影響を受けるため、一般ユーザにとっても最大の脅威のひとつです。Talos では最近、南米を標的とした新しいキャンペーン、「Brazil」を発見しました。このキャンペーンは南米の各銀行ユーザを標的としており、ユーザから資格情報を盗み出して金銭的利益を得る目的があります。Talos が分析したキャンペーンはブラジルのユーザを狙いに定めており、複数のリダイレクション方法を駆使してステルス状態を維持することで感染を試みています。同時に複数の分析阻止手法も使用しています。最終的なペイロードは Delphi で記述されていますが、これはバンキング型トロイの木馬では非常に珍しいことです。
感染ベクトル
スパムのサンプル
バンキング型トロイの木馬を使用した多くのキャンペーンと同様に、今回のキャンペーンも悪意のあるスパム キャンペーンから攻撃が始まります。キャンペーンで使用された電子メールのサンプルを次に示します。メール本文はポルトガル語で書かれており、外見上の正当性を高めています。母国語で書かれた電子メールを送り付ければ、攻撃手口が成功する可能性も高くなります。
電子メールには「BOLETO_2248_.html」という名前の HTML 添付ファイルが含まれています。Boleto は、ブラジルで使用されている請求書の一種です。この HTML ファイルには、最初の Web サイトへの簡単なリダイレクトが含まれています。
<html> <head> <title>2Via Boleto</title> </head> <body> </body> </html> <meta http-equiv="refresh" content="0; url=http://priestsforscotland[.]org[.]uk/wp-content/themes/blessing/0032904.php">
リダイレクトの繰り返し
HTML 添付ファイルに含まれる URL は、最初のリダイレクト先として URL 短縮サービス(goo.gl)へリダイレクトします。
2 度目のリダイレクトは短縮 URL(goo.gl)から実行されます。この短縮 URL は、hxxp://thirdculture[.]tv:80/wp/wp-content/themes/zerif-lite/97463986909837214092129.rar を参照しています。
最後に、アーカイブには「BOLETO_09848378974093798043.jar」という名前の JAR ファイルが含まれています。ユーザが JAR ファイルをダブルクリックすると、Java は悪質なコードを実行し、バンキング型トロイの木馬のインストール プロセスを開始します。
Java コードの実行
Java コードは最初にマルウェアの作業環境をセットアップします。それと同時に、hxxp://104[.]236[.]211[.]243/1409/pz.zip から追加のファイルをダウンロードします。マルウェアは C:\Users\Public\Administrator\ のディレクトリに作成されます。これはデフォルトで存在せず、マルウェアが作成したものです。新しいアーカイブには新しいバイナリ セットが含まれています。
最後のステップで、Java コードはダウンロードしたバイナリ ファイルの名前を変更し、vm.png(以前に名前を変更したもの)を実行します。
マルウェアの読み込み
最初に実行されたバイナリ ファイルは vm.png です。これは VMware の正式なバイナリ ファイルであり、VMware のデジタル署名で署名されています。
バイナリの依存関係の 1 つは vmwarebase.dll です。
Python 2.7.12 (default, Nov 19 2016, 06:48:10)
[GCC 5.4.0 20160609] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import pefile
>>> pe = pefile.PE("vm.png")
>>> for entry in pe.DIRECTORY_ENTRY_IMPORT:
... print entry.dll
...
MSVCR90.dll
ADVAPI32.dll
vmwarebase.DLL
KERNEL32.dll
vmwarebase.dll は正規のバイナリ ファイルではなく悪質なバイナリ ファイルです。この手法は、PlugX のような他の攻撃により以前から使用されてきました。このアプローチでは、一部のセキュリティ製品で採用されている信頼チェーン(最初のバイナリが信頼できる場合(今回のサンプルでは vm.png)、読み込まれたライブラリは自動的に信頼される)を狙っています。ライブラリの読み込み手口は、いくつかのセキュリティ チェックをバイパスできます。
vmwarebase.dll コードの目的は、ユーザ アカウントのコンテキストに応じて、explorer.exe または notepad.exe に prs.png コードを注入して実行することです。コード注入では、リモート プロセスでメモリを割り当て、LoadLibrary() を使用して gbs.png ライブラリを読み込みます。API の使用は、以下の暗号化(AES)によって難読化されています。
Once decrypted the m5ba+5jOiltH7Mff7neiMumHl2s= is LoadLibraryA and QiF3gn1jEEw8XUGBTz0B5i5nkPY= is kernel32.dll
バンキング型トロイの木馬
バンキング型トロイの木馬のメインモジュールには多くの機能が含まれています。たとえば、taskmgr.exe(タスクマネージャ)、msconfig.exe(MsConfig)、regedit.exe(レジストリ エディタ)、ccleaner.exe および ccleaner64.exe などの分析プロセスを終了させる機能も含まれています。このモジュールは、正当な名前を装った自動起動用レジストリキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Vmware Base)を作成します。
このモジュールは、フォアグラウンド ウィンドウのタイトルを取得します。タイトルを取得しながら、以下のタイトルのウィンドウがいずれか 1 つでも存在するか検索します。これらの文字列はサンプル内で暗号化されています。
Navegador Exclusivo Sicoobnet Aplicativo Ita Internet Banking BNB Banestes Internet Banking Banrisul bb.com.br bancobrasil.com Banco do Brasil Autoatendimento Pessoa Física – Banco do Brasil internetbankingcaixa Caixa – A vida pede mais que um banco SICREDI Banco Bradesco S/A Internet Banking 30 horas Banestes Internet Banking Banrisul
文字列の中には、標的となったブラジル国内の金融機関も含まれています。今回のトロイの木馬は WebInjects を利用しており、これにより銀行の Web サイトとのインタラクションを可能にしています。メイン モジュールが実行する別のタスクは、rundll32.exe を使用して最後のバイナリ ファイル(gps.png)を実行することです。gps.png は拡張子 .drv で以前に名前を変更してあります。
このライブラリは Themida を使用してパッケージ化されているため、解凍が非常に困難です。
開発者によって分析されたサンプルでは、以下のデバッグ文字列が残されていました。また文字列はポルトガル語で記述されています。
<|DISPIDA|>Iniciou! <|PRINCIPAL|> <|DISPIDA|>Abriu_IE <|Desktop|> <|DISPIDA|>Startou! <|Enviado|>
これらの文字列は、感染したシステム上で一定処理され、C2 サーバに送信されます。C2 構成は i.dk プレーン テキスト ファイル(AES 256 で暗号化)に格納されています。このファイルには、日付、IP アドレス、および他の設定項目が含まれています。
07082017 191.252.65.139 6532
まとめ
バンキング型トロイの木馬は現在でも脅威の一角を占めており、進化し続けています。そして今回のサンプルのように、標的地域を絞り込んで細工される場合もあります。攻撃者も同じ地域に住んでいるとは限りませんが、標的地域に住むユーザはセキュリティ意識が低いと見込んでいることが伺えます。金銭の不正取得は今後も大きな攻撃動機となり続けるでしょう。そして今回のサンプルでも判明したように、マルウェアも絶えず進化しています。Themida のような市販のプラットフォームを採り入れることで分析を阻止していることから、一部の攻撃者は(分析阻止のためなら)商用パッカーでさえも喜んで活用するのです。
IOC(侵入の痕跡)
927d914f46715a9ed29810ed73f9464e4dadfe822ee09d945a04623fa3f4bc10 HTML attachment
5730b4e0dd520caba11f9224de8cfd1a8c52e0cc2ee98b2dac79e40088fe681c RAR archive
B76344ba438520a19fff51a1217e3c6898858f4d07cfe89f7b1fe35e30a6ece9 BOLETO_09848378974093798043.jar
0ce1eac877cdd87fea25050b0780e354fe3b7d6ca96c505b2cd36ca319dc6cab gbs.png
6d8c7760ac76af40b7f9cc4af31da8931cef0d9b4ad02aba0816fa2c24f76f10 i.dk
56664ec3cbb228e8fa21ec44224d68902d1fbe20687fd88922816464ea5d4cdf prs.png
641a58b667248fc1aec80a0d0e9a515ba43e6ca9a8bdd162edd66e58703f8f98 pz.zip
79a68c59004e3444dfd64794c68528187e3415b3da58f953b8cc7967475884c2 vm.png
969a5dcf8f42574e5b0c0adda0ff28ce310e0b72d94a92b70f23d06ca5b438be vmwarebase.dll
本稿は 2017年9月28日に Talos Group
のブログに投稿された「Banking Trojan Attempts To Steal Brazillion$
Tags:
