欧州と南米の 70 の銀行が Bizarro というマルウェアに攻撃されている

70 European and South American Banks Under Attack By Bizarro Banking Malware

2021/05/18 TheHackerNews — 金銭を目当てとするサイバー犯罪組織が、これまで文書化されていなかった、バンキングを対象とするトロイの木馬を公開した。このトロイの木馬は、ヨーロッパや南米にある 70の銀行から、顧客の認証情報を盗むことができるという。Kaspersky の研究者が Bizarro と名付けた、この Windows マルウェアは、アフィリエイトやマネーミュールを介した攻撃により、不正な現金化や送金を引き起こすものだ。

この活動は、複数の要素で構成されており、たとえば、偽のポップアップ・ウィンドウに二要素認証コードを入力させ、それを攻撃者に送信させる機能や、銀行の Web サイトを訪れたユーザーに、悪意のスマートフォン・アプリをダウンロードさせる機能などを展開している。Bizarro は、WordPress / Amazon / Azure などのサーバーを利用しており、被害者はスパムメールに含まれるリンクから、MSI パッケージをダウンロードすることで感染していく。このパッケージを起動すると、Delphi で書かれた ZIP アーカイブがダウンロードされ、その後に、高度に難読化されたインプラントが注入されるという。そして、ハードコードされたオンライン・バンキング・システムへの接続が検出されるまで、バックドアのメインモジュールは待機するよう設定されている。

ブラジルで生まれたバンキングを狙うトロイの木馬が、Windows や Android に影響を及ぼすケースが増えていて、そのトレンドの最新の例が Bizarro だと、この記事は述べています。また、Guildma / Javali / Melcoz / Grandoreiro / Amavaldo / Ghimob / BRATA などのマルウェアと連携することで、南米やヨーロッパで被害を拡大しているようです。この活動の背景には、マルウェアの分析/検出を複雑にするための、さまざまな技術的手法が存在し、また、オンライン・バンキングのアカウントに関連する個人データを、被害者を騙して提供させるソーシャル・エンジニアリングの手法が存在するようです。

%d bloggers like this: