Online sellers targeted by new information-stealing malware campaign
2023/06/03 BleepingComputer — Vidar という情報窃取マルウェアを展開し、オンライン販売業者たちを標的とする新たなキャンペーンを介して、認証情報を盗み出す脅威アクターが、これまで以上に有害な攻撃を仕掛けている。この、今週に発見された新しいキャンペーンは、電子メールや Web サイトの問い合わせフォームを悪用して、オンラインストアの管理者に苦情を送りつけるところから始まる。それらの電子メールは、オンライン・ストアの顧客のふりをして、注文が適切に処理されないままに、銀行口座から $550 が差し引かれたと主張する。
今週に、BleepingComputer も、1通のメールを受け取り、この攻撃を調査した。その結果として、この1週間で広まり、VirusTotal にも多数の投稿が寄せられているキャンペーンであることが判明した。
オンライン販売者をターゲットにする
eコマースサイトの、バックエンドへの認証情報が取得されると、さまざまなタイプの攻撃が可能になるため、脅威アクターたちにとってオンライン販売者は格好の標的となる。
たとえば、オンラインストアの管理者用バックエンドに対して、脅威アクターがアクセスできるようになると、悪意の JavaScript スクリプトを注入する MageCart 攻撃 (チェックアウト時に顧客のクレジットカードや個人情報を盗む) の実行などが可能になる。
また、バックエンド・アクセスにより、店舗のデータベースのバックアップを不正に生成し、サイトの顧客情報が盗まれることもある。それにより、身代金の支払い要求や、顧客データの流出し、それらの情報の売却といった、被害者への恐喝が行われることもある。
今週の初めに BleepingComputer は、注文が正しく処理されなかったが、$550 を請求されたという、偽の顧客から電子メールを受けとった。その内容を、以下に示す:
詐欺メールの文面 ーーー 「私は、貴社の Web サイトにおける最近の取引で生じた、深い懸念と失望を伝えるために書いている。 2023年5月14日に、$550 の商品を購入した。しかし、重大な問題が発生し、早急に対処してもらう必要がある。ーーー
ーーー 私が購入を完了した直後に、貴社の Web ページにエラーが表示された。私の銀行口座を確認したところ、確かに支払いは実行され、同じ金額が引き落とされていたことが分かっている。ぜひ、この問題を緊急に解決してほしい。ーーー
ーーー この不一致の原因を分析し、引き落とされた金額を返却するために、早急に対応してほしい。あなたのレビューのために、そして購入の証拠として、以下に私の銀行明細書のコピーを提供する。これは、支払いの最終的な証拠として機能し、完全な返金の緊急性を指摘するものだ。以下が、私の明細書へのハイパーリンクである: “https://bit.ly/xxxx” 」ーーー ここまで
上記の電子メールには、元のリンクを隠すために短縮された、疑惑の銀行明細書へ向けた bit.ly リンクが埋め込まれている。このメールは、小売業者に対して返金を要求し、問題の根本的な原因を調査するよう、緊迫感を与えるように書かれている。
この URL をクリックすると、Google Drive を装う Web サイトが表示されり。BleepingComputer のテストでは、この偽 Google Drive は、銀行明細書を表示するか、銀行明細書をダウンロードするよう、ユーザーに促していた。
このキャンペーンに関連していると思われるドメインは、以下の通りである:
http://bank.verified-docs.org%5B.%5Dza/
http://chase.sign-docs.org%5B.%5Dza/
http://documents.cert-docs.net%5B.%5Dza/
http://documents.verified-docs%5B.%5Dcom/
https://bank.cert-docs.net%5B.%5Dza
https://bank.my-sign-docs%5B.%5Dcom
https://bank.sign-documents%5B.%5Dnet.za
https://bank.sign-documents%5B.%5Dorg.za
https://bank.verified-docs%5B.%5Dnet.za
https://bank.verified-docs%5B.%5Dorg.za
https://bank.verified-docs%5B.%5Dsite
https://chase.cert-docs.co%5B.%5Dza
https://chase.my-sign-docs%5B.%5Dorg
https://chase.sign-docs.net%5B.%5Dza
https://chase.sign-docs.org%5B.%5Dza
https://chase.sign-documents.co%5B.%5Dza
https://chase.sign-documents.org%5B.%5Dza
https://documents.cert-docs.co%5B.%5Dza
https://documents.my-sign-docs%5B.%5Dorg
https://documents.sign-docs.co%5B.%5Dza
https://documents.verified-docs.org%5B.%5Dza
https://sign-documents.net%5B.%5Dza/
https://statements.my-sign-docs.net%5B.%5Dza/
https://statements.sign-docs.co%5B.%5Dza/
https://statements.sign-documents.co%5B.%5Dza/
https://statements.sign-documents.net%5B.%5Dza/
https://statements.sign-documents.org%5B.%5Dza/
https://statements.verified-docs.org%5B.%5Dza/
https://verified-docs%5B.%5Dcom/
このサイトが、銀行明細を表示する場合には、”Anywhere Dr.” の顧客名 “Jane Customer” などの、Commerce Bank のサンプル銀行明細が表示される。
Source: BleepingComputer
しかし、他のテストでは、プレビューが利用できないという、偽の Google Drive ページが表示され、”Bank_statement.pdf” をダウンロードするよう、ユーザーは催促される。しかし、この指示に従ってしまうと、”bank_statement.scr” という名前の、実行ファイルがダウンロードされてしまう。
Source: BleepingComputer
VirusTotal 内の AV プロバイダーたちは、情報窃取マルウェアとしてしか検出していないが、Recorded FutureのTriage は、Vidar 情報窃取マルウェアとして明 記している。
この Vidar は、ブラウザのクッキー/履歴/保存されたパスワード/暗号通貨ウォレット/テキストファイル/Authy 2FA データベースなどに加えて、アクティブな Windows 画面のスクリーンショットを盗むことができる、情報窃取型のトロイの木馬である。
Vidar による侵害が完了すると、この種の情報は攻撃者のリモートサーバにアップロードされる。おして、データ送信が完了すると、感染させたマシンからファイル・コレクションは削除され、空のフォルダだらけのディレクトリが残される。
脅威アクターたちは、盗んだ情報により、被害者のアカウントに侵入することが可能であり、また、他の脅威アクターたちに転売することも可能である。
上記の悪意のメールを受け取ってしまい、このマルウェア配布キャンペーンの影響を受けたと思われる場合は、直ちにコンピュータのマルウェアをスキャンし、検出された全てを削除することが不可欠である。
さらに攻撃を防ぐために、すべてのアカウントを、特にオンライン商取引サイトや、銀行口座、電子メールアドレスに関連するアカウントの、パスワードを変更する必要がある。
最後に、eコマースサイトの管理者は、HTML テンプレートへのソースコード注入や、新しいアカウントに付与された高権限の有無、そして、ソースコードの変更などについて、徹底的に調査してほしい。
eコマースサイトの侵害に成功した攻撃者は、さまざまな情報を得ることが可能になるため、あの手この手で執拗に攻撃してきます。2021/11/18 の「Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる」という記事では、オンラインシ・ョップの Web サイトにクレジットカード・スキマーを注入するという、この分野に特化した攻撃手法が解説されていました。よろしければ、カテゴリ Retail を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.