Bizarroというバンキング型トロイの大規模な活動が観測されています。
観測情報によると、ブラジルから始まり、南アメリカを広く侵害し、ヨーロッパに広がっています。
まだ拡散している状況で様々な国の70の銀行の資格情報が取得されています。
いろいろな技術要素が詰め込まれています。
- 機能をDelphiで書かれたDLLに実装している
Cで書かれた場合とは異なる検出手法が必要となるため、検出が困難になる - 難読化されている
静的コード分析の実施を困難にする
多数のマクロ展開とジャンクコードの挿入で徹底的に難読化する - 感染するととりあえず全部のWebブラウザを終了する
ブラウザを起動しなおすともう一度銀行に接続してくれるかもしれない - Webブラウザのオートコンプリートを無効にする
手入力でログインしてくれればキーロガーで資格情報を取得できる - リアルなダイアログ表示機能を使う
模倣している銀行のロゴマークも使うし、ユーザの言語にあわせて表示するメッセージの言語も調整するためよりリアルになる - 2要素認証も大丈夫
Bizarroの機能の中に、ユーザにスマホへのアプリのインストールを促す機能も持っている
iPhone向けもAndroid向けも用意されている
これを適用したスマホを使って2要素認証をしようとするとスマホでやり取りされるほうの要素も取得される - スマホへのアプリのインストールに際してQRコードが使われる
これにより、より普通っぽさが演出できる
ちなみにこのQRコードは侵害されたPCでGoogle ChartsAPIを使って生成される
ちなみに、Bizarroはファミリーです。
多くの類似品が出回っています。
まったく大変なことです。
やるときは徹底的に、でしょうか。
参考記事(外部リンク):Bizarro banking Trojan expands its attacks to Europe
securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/
| この記事をシェア |
|
|---|
