ブラジルのTetradeトロイの木馬が世界中の金融機関を標的に

最近、サイバーセキュリティの研究者たちは、ブラジル、ラテンアメリカ、ヨーロッパの金融機関をターゲットにした、4つの異なる銀行系バンキング型トロイの木馬(ギルドマ、ジャワリ、メルコズ、グランドレイロ)を検出しました。ブラジルに拠点を置く多くの銀行がラテンアメリカとヨーロッパでも事業を行っているので、詐欺師はこれらの金融機関の顧客への攻撃を拡大するのに便利であるとケスペルスキーは言います。

これらのウイルスは、Tetradeマルウェアと同様にバックドアとして進化します。保護ツールによって破壊的な動作が検出されるのを防ぐために、さまざまな不正な方法が採用されています。 GuildmaとJavaeliのペイロードは、フィッシングメールを介して拡散されます。 JavaScriptコードを実行する圧縮された電子メールの添付ファイルまたはHTMLファイルは、ターゲットへのペイロード注入プロセスを開始します。さらに、ダウンロードされたペイロードの場所はNTFS代替データストリームによって隠されています。

Resercherは、テトラッドがハッカーが操作するサーバーから追加のモジュールを暗号化された形式でダウンロードし、FacebookとYoutubeに配置したことを明らかにしました。これらのモジュールを実行するために、不正なプロセスを使用して、suchost.exeなどのホワイトリストに登録されているプロセスで有害なペイロードを隠します。インストール後、マルウェアは特定の銀行のWebサイトを監視します。このようなサイトのユーザーが操作すると、操作者がデバイスを介して不正なトランザクションを実行できるようにする一連の操作を開始します。

一方、マルコズは、セットアップパッケージファイルでVBSスクリプトを使用して、コンピューターに悪意のあるペイロードをダウンロードします。インストール後、AutoltインタープリターとVMware Natサービスを悪用して、有害なDLLをロードします。元のウォレットの詳細を置き換えることにより、クリップボードのブラウザーやビットコインのウォレットからパスワードを盗みます。マルウェアが不正なトランザクションを許可するセッションを操作するためにブラウザにオーバーレイウィンドウを表示するため、研究者はこれを説明します。

Grandoreiroは、Tetradeから最後に検出されたマルウェアです。攻撃者が被害者を利用して銀行によるセキュリティ対策を回避することにより、違法な金融送金を行うのを助けます。この詐欺キャンペーンは、ブラジル、メキシコ、ポルトガル、スペインのさまざまな地域で2016年から活動しています。

カスペルスキーは、ブラジルの詐欺師が急速にアフィリエイトネットワークを構築していると結論付けています。彼らは他の国で活動するコンピューター犯罪者を雇い、サービスとしてのマルウェアを採用し、マルウェアに新しい戦術を適用してクライアントから効果的な金銭的魅力を得ています。さらに、DGAの使用法、DLLのハイジャック、暗号化されたペイロード、その他のトリックなど、セキュリティツールをバイパスするためのさまざまな技術を採用しています。