全部入り

Bizarroというバンキング型トロイの大規模な活動が観測されています。
観測情報によると、ブラジルから始まり、南アメリカを広く侵害し、ヨーロッパに広がっています。
まだ拡散している状況で様々な国の70の銀行の資格情報が取得されています。

いろいろな技術要素が詰め込まれています。

  • 機能をDelphiで書かれたDLLに実装している
    Cで書かれた場合とは異なる検出手法が必要となるため、検出が困難になる
  • 難読化されている
    静的コード分析の実施を困難にする
    多数のマクロ展開とジャンクコードの挿入で徹底的に難読化する
  • 感染するととりあえず全部のWebブラウザを終了する
    ブラウザを起動しなおすともう一度銀行に接続してくれるかもしれない
  • Webブラウザのオートコンプリートを無効にする
    手入力でログインしてくれればキーロガーで資格情報を取得できる
  • リアルなダイアログ表示機能を使う
    模倣している銀行のロゴマークも使うし、ユーザの言語にあわせて表示するメッセージの言語も調整するためよりリアルになる
  • 2要素認証も大丈夫
    Bizarroの機能の中に、ユーザにスマホへのアプリのインストールを促す機能も持っている
    iPhone向けもAndroid向けも用意されている
    これを適用したスマホを使って2要素認証をしようとするとスマホでやり取りされるほうの要素も取得される
  • スマホへのアプリのインストールに際してQRコードが使われる
    これにより、より普通っぽさが演出できる
    ちなみにこのQRコードは侵害されたPCでGoogle ChartsAPIを使って生成される

ちなみに、Bizarroはファミリーです。
多くの類似品が出回っています。

まったく大変なことです。
やるときは徹底的に、でしょうか。

参考記事(外部リンク):Bizarro banking Trojan expands its attacks to Europe
securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。