2021/03/31

金融機関を標的とするバンキング型トロイの木馬「Dridex」のフィッシング分析

2021 年 3 月 31 日 Abdul Samee 著

3 月初旬、多くの米国人が再度の景気刺激策を待ち望む中、新型コロナウイルス救済策の一環としての財政支援 (給付金やその他の援助)「American Rescue Plan (米国救済計画法)」をサイバー犯罪者が利用している、という報道が流れています。ウォッチガードがそのフィッシングメールのいくつかを入手して精査したところ、メールは IRS (米国国税庁) を装っており、公式ロゴも使用されていました。またさらなる調査の結果、送信者は IRS ドメインの偽装も行っていました。これらのフィッシングは、バンキング型トロイの木馬「Dridex」と関連していることが判明しています。Dridex は、昨年の Global Threat Index (世界の脅威指標) によると、世界のマルウェアリストのトップ 10 に入っています。

メールには「4000 ドルの小切手」、「待機なしでのワクチン接種」、「無料の食事」などが記載されていました。「Get apply form (応募フォームの入手)」というボタンをクリックすると、Dropbox のエクセル文書に転送され、連邦政府からの援助を受けるために、フォームを記入するよう求められます。しかしここでは、スプレッドシートを編集できるように設定しないとフォーム全体が表示されないようになっています。しかしご注意ください。編集を有効にすると、感染の連鎖を引き起こすマクロが起動する仕組みです。

多くのフィッシングメール同様、内容をよく読むと、政府が公式に送信するメールとは思えないようなミスがあることがわかります。しかしこのような攻撃で標的となるのは、救済計画の財政援助について一刻も早く知り、支援金を受給したいと思っているユーザです。

個人のメールアカウントへの攻撃の概要

Dridex は Windows プラットフォームを標的としたバンキング型トロイの木馬で、スパム攻撃やエクスプロイトキットによって配信され、WebInjects に依存してバンキングの認証情報を傍受し、攻撃者が管理するサーバにリダイレクトするものです。ここでは、筆者が受信したフィッシングメールを例に解説します。

数日前、dridex に関連した特徴を持つフィッシングメールを受信しました。添付ファイルのタイトルには、「invoice (請求書)」、「order (注文)」、「scan (スキャン)」、「receipt (領収書)」、「debit note (引き落とし書)」、「itinerary (旅程)」など、典型的な用語が使用されています。下図の通り、今回の件名は「TR Revised Invoice – Order」でした。

この領収書の背後にあるものを突き止めるため、マルウェアテスト用の隔離されたネットワークを使用し、リスクを最小限に抑えた上でテストを行いました。手順は以下です。

  1. Hotmail の Microsoft アカウントで、領収書が添付された電子メールを受信。
  2. 領収書をクリックして開く。
  3. Microsoft アカウントのサインインページに移動。
  4. パスワードを入力すると、別のサイトに移動する
  5. そのサイトは、本物に似せたレプリカ。つまり、なりすましサイトであった。

上記の過程で開くページはどれも不審で、画面の指示に従うべきではないと判断するには十分なものでした。今回の攻撃は、大きく分けて 2 つの部分で構成されています。それは、「トロイの木馬」と「フィッシング」です。上記の過程をすべて経ると、メールアドレスと銀行口座の情報が第三者と共有されることになります。

目立った点

安全な環境でハイパーリンクをクリックして領収書を確認すると、Microsoft のページが表示されますが、これは偽装ページとは思えないほど正規のページに酷似しています。しかし実際には、これは認証情報を取得するために攻撃者の管理下にある別のサーバで実行されているページです。

ここでは、不正なアカウント情報を入力したにもかかわらず、ログインが成功したかのように処理され、下図でモザイクのかかった、偽装の銀行領収書を表示するページにリダイレクトされました。さらに注意して見ると、ページを読み込み後に IP 情報まで収集していることがわかります。

ツールで RQF INV.html ファイルの挙動を調べたところ、攻撃者が偽装で使用している Web サイトを発見しました。

攻撃者はサーバのセキュリティに時間をかけなかったようです。サーバ側で見られるindex ディレクトリにアクセスが可能で、「error_logz.txt」というファイルが見つかり、そこには筆者が入力した Microsoft アカウントの認証情報が保存されていました。

調べるべき点 – フィッシングメール内の手がかり

ユーザはフィッシングを見分けるスキルを磨き、企業は Dridex マルウェアや同様の脅威を避けるため、ワークステーション上の WMI と PowerShell を厳格に監視する必要があります。以下は、フィッシングで注意すべき具体的な内容です。

  • 曖昧な件名。注文番号や製品などへの言及がない。
  • 文法的な間違い、個人を特定していない内容。挨拶で「お客様へ」などとしか書かれていない。
  • 詳細の欠如。表現が単純で、製品やサービスの詳細が記載されておらず、連絡先の言及もない。
  • ファイル名。請求書の名前がプロジェクトや会社に特定されておらず、詳細が全く示されていない。
  • 署名の不一致。メール署名の詳細と、送信者の詳細 (名前、メールアドレスなど) が一致していない。
  • 何よりも、疑わしい場合はクリックしない。

ウォッチガードの予防策

WatchGuard spamBlocker は、多くのフィッシングメールを検出する優れた機能を備えています。既知のスパムやフィッシングで使用されているドメインのリストと、電子メールメッセージの本文にある広告リンクを比較する URL 検出機能も含まれます。
Spam Blocker は以下を使用します。

  1. ルールの組み合わせ。
  2. パターンマッチング。
  3. 送信者のレピュテーションに応じて、メッセージを正確に識別し、ブロックする。
  4. メールメッセージのヘッダと本文をレビューし、脅威を特定。

さらに、DNSWatch は、フィッシングに使用されるドメインを無効化し、被害者になりかけたユーザを、フィッシングトレーニングが掲載された安全なブラックホールランディングページに送ります。最後に、ウォッチガードはこの記事で紹介されている Panda AD360 を通じて、多層防御をさらに強化しています。AD360 は、上記の添付ファイルのような HTML ファイルを分析し、似たような特徴を持つファイルをブロックします。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)