日本を標的にするトロイ「Ursnif」の新種が見つかる
日本を標的にするトロイ「Ursnif」の亜種が2019年初頭から発見されるようになった。日本はUrsnifの主な標的であるが、Beblohが発信している最新のバージョンでは、日本人だけを狙っていたタイプよりも幅広い標的を狙うようになっている。
Ursnifの新種は2015年にソースコードが知られるようになって以来、珍しいものではなくなったのだが、今回のバージョンはブラウザに格納されているメールクライアントや電子メールクレデンシャルからデータを盗む、データ盗難モジュールの改良版も含んでいる。他に新しく見つかった機能として、Cybereason社の研究によると、新たなステルス性のパージステンスモジュール、暗号通貨及びディスク暗号化モジュール、対フィッシュウォール(日本国内のセキュリティ関連商品)モジュールを含んでいる。
感染拡大の発端は、有害なOfficeドキュメントを使ったBeblohの発信である。これがアクティベートになると、ドキュメントに仕込んだVBAマクロが、まず広範囲のロケーションテスト群を実行する。この一連のテストは前バージョンまで網羅・修正され、更に難読化する。しかし、今年の一連の攻撃にはイタリアを標的にした技術も見られる。
ターゲットになるコンピューターがロケーションテストをパスすると、ファイナルIP位置チェックも含めたPowerShellペイロードがアクティベートする。
imgurやpostimage.ccといった画像共有サイトから画像をダウンロードし、更にステガノグラフィーで隠蔽したBeblohをダウンロードする。Beblohはexplorer.exeに侵入し、C2サーバーからUrsnifローダーをダウンロードする。
Ursnifローダーは更にテストを行い、感染者が本物のユーザであり、ユーザを装った研究者でないことを確認する。他にもXeon CPUチェック、仮想化ベンダーチェック、VM exitを強制するタイミングチェックも行う。これらのいずれかが検出されると、ローダーはエラーを表示してプロセスを終了する。しかし全てパスすると、explorer.exeのメインプロセスにUrsnifのcore DLLが挿入される。
このペイロードの外見はGozi ISFB v3となっている。編集日は2019年の2月22日であるが、Cybereasonが発見した同種の前サンプルのタイムスタンプは2018年7月となっており、同種は2018年には存在していたことが伺える。
コード解析で今回のバージョンはUrsnifの「Dreambot」種と関連性が見られるが、一部の機能が除かれ、一部の機能が加えられている。例としてTorクライアントとVNCモジュールは取り除かれた。新しく追加または修正した機能には、シャットダウン直前のパージステンス機能(Dridexに使用していたものと同様のもの)、 IE、Outlook、Thunderbirdから抽出する新しいデータ盗難モジュール、暗号通貨及びディスク暗号化ソフトウェアモジュール、対フィッシュウォールモジュールを含んでいる。
「パージステンス」はシステムシャットダウンの直前に作成されるもので、システムが再起動する際にパージステンスがアクティベートされ、Ursnifが再実行される。その後、検出の可能性を低くするためにパージステンスは削除されるが、シャットダウンの際に再度作成される。
この新種のメール窃盗能力は強化・拡張している。たとえばOutlookスティーラーはMicrosoft Outlookís .PSTおよび.OST拡張子を探知するよう強化している。 Thunderbirdログインのクレデンシャル情報と個人用アドレス帳を盗む新たなモジュールが追加されている。新しいInternet Explorerモジュールはオートコンプリート機能で入力したURLと、クレデンシャルやIEブラウジング履歴を含むデータを盗む。
また、暗号通貨を盗むように設計されたと思われる追加機能もあり、 Electrum Bitcoin wallet、Bitcoin wallet、 Multibit-hd、Bither Bitcoin wallet、mSigna Bitcoin wallet、Jaxx multi-currency digital wallet、Bitcoin Armory walletがその対象に含まれている。
このバージョンのUrsnifにはセキュリティ対策ソフトPhishWallとRapportを無力化するように、対セキュリティ対策機能が加えられている。PhishWallは日本では人気の高いフィッシング対策およびバンキングトロイ対策ソフトであり、以前から他のトロイでも対PhishWallモジュール(ShifuやBeblohなど)は使用されてきた。
対RapportモジュールはIBM Trusteer社のRapport製品を無力化するよう設計されている。これは目新しいものではないが、日本を標的にするマルウェアに使用されることは多くない。このコードのベースになっているのは、GitHubで公開されているCarberpの対Rapportコードである「if not copy/pasted from 」だ。CybereasonによるとPhishWallモジュールとRapportモジュールのどちらもテストを行っていないため、このモジュールの効果を証明することはできない。
Ursnifの新バージョンを使ったデータ盗難手法について、Cybereasonには驚くに値しないもののようだ「バンキング顧客がどんどんモバイルバンキングに移行し、金融システムのセキュリティが向上し続ける中で、これまでと違った金融データ以外の、マネタイズ可能なデータの詐取にトロイの矛先が向かい始め、エクスプロイトすることは何ら驚くことではありません」と研究者は記述している。
しかし一連の攻撃で目立っているのは「日本ユーザを標的とする脅威因子の作成に強力に注力していることです。標的ユーザが日本人であることの特定に複数回チェックを行っており、ネット広範に散布している感染力の高いトロイや情報スティーラーとは被害が対照的です」
