Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている

Emotet malware now steals credit cards from Google Chrome users

2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。

Proofpoint の Threat Insights Team は、「6月6日に、E4 ボットネットによりドロップされる、新しい #Emotet モジュールを観測した。驚いたことに、このモジュールは Chrome ブラウザのみを標的とした、クレジット・カード・スティーラーである。カード情報を収集すると、モジュール・ローダーとは異なる C2 サーバーへと、それらの情報を流出させていた」と明らかにした。

セキュリティ研究グループの Cryptolaemus も検知しているように、4月中に Emotet が活発化し、64 Bit モジュールに切り替わった後に、この変化が生じている。
その1週間後に Emotet は、Windows ショートカット・ファイル (.LNK) を介して PowerShell コマンドを実行し、被害者のデバイスに感染するようになった。つまり、2022年4月初旬からデフォルトで無効になった、Microsoft Office マクロの悪用から移行している。

Emotet credit card stealer
Image: Proofpoint

Emotet の復活

Emotet マルウェアは、2014年にバンキング・トロイの木馬として開発され、攻撃のために展開された。そして、TA542 脅威グループ (別名:Mummy Spider) が、セカンド・ステージのペイロード配信に使用するボットネットへと進化した。また、Emotet の運用者には、ユーザー・データを盗み、侵入したネットワーク上で偵察を行い、脆弱なデバイスに横移動するための機能が提供される。

Emotet は、侵害した被害者のコンピュータに、Qbot/Trickbot マルウェア・トロジャンのペイロードをドロップすることで知られている。これらのペイロードは、Ryuk/Conti といったランサムウェアが、Cobalt Strike Beacon などのマルウェアを追加する際にも使用される。

2021年の初めに、Emotet のインフラは、国際的な法執行活動により停止され、2人の容疑者が逮捕された。2021年4月25日には、ドイツの法執行機関が、ボットネットに対して Emotet 独自のインフラストラクチャを使用し、このマルウェアを感染したデバイスからアンインストールするモジュールを配信している。

2021年11月に、Emotet 研究グループ Cryptolaemus/コンピュータ・セキュリティ企業 GData/サイバーセキュリティ企業 Advanced Intel などが検出したのは、TrickBot マルウェアが Emotet ローダーのプッシュに使用されていることだ。つまり、Emotet は、既存の TrickBot インフラを使って再登場したことになる。

火曜日に ESET が明らかにしたように、今年に入ってから Emotet の活動が大幅に増加し、2022年1月〜4月期の活動量は、2021年9月〜12月期と比べて 100倍以上になっている。

Chrome に登録されたクレジット・カード情報情報を、Emotet が狙っているという怖い話です。このマルウェアですが、すでに 64-Bit 対応も完了し、観測数も最多になっているようです。必要なときにだけ登録するという方式もありますが、たとえば Google Drive の有償版を使うだけで、毎月の支払いがあるため、結局は登録したままになってしまいます。このような、クレジット・カードとベンダーの関係は、ほかにも複数あるはずですし、誰にでも共通する問題なのだと思います。とにかく、こうしたセキュリティ関連の情報を参照し、危ないところに近づかないという考えで、日々を暮らす他にありませんね。

%d bloggers like this: