Group-IBによる包括的な調査で、これまで未知だったGoldPickaxeマルウェアを先頭に、新しく洗練されたバンキングトロイの木馬のクラスターが明らかにされました。このクラスターは、アジア太平洋地域、特にベトナムとタイをターゲットにした、GoldFactoryと呼ばれる脅威アクターによる組織的な取り組みの一部です。GoldPickaxeファミリーは、AndroidとiOSの両プラットフォームに対応するバリアントを含み、顔認識データ、身分証明書の収集、SMSの傍受など、高度な技術を取り入れたモバイルバンキングトロイの木馬の顕著な進化を示しています。これらは、AI駆動のディープフェイク技術を使用して、被害者の銀行口座への不正アクセスを容易にします。
GoldPickaxeマルウェアファミリー
GoldPickaxeファミリーは、GoldDigger Androidトロイの木馬から派生したもので、AndroidとiOSの両プラットフォームをターゲットにする能力によって区別されます。このマルウェアは、AppleのTestFlightの使用や、被害者にモバイルデバイス管理(MDM)プロファイルのインストールを促すことにより、攻撃者が影響を受けたデバイスを完全に制御することを可能にする、革新的な配布方法を採用しています。
主な能力:
- 機密情報の収集: 顔認識データ、身分証明書、SMSの傍受を含む。
- ディープフェイク技術の使用: 銀行詐欺のための生体認証セキュリティ対策のバイパス。
- 洗練された配布方法: TestFlightとMDMプロファイルの悪用。
GoldFactoryサイバー犯罪グループ
GoldPickaxeマルウェアファミリーの開発と普及に関与していることから、GoldFactoryは中国語を話す組織的なサイバー犯罪グループとして特定されています。このグループは、金融機関とその顧客をターゲットに、ソーシャルエンジニアリング、ディープフェイク技術、幅広いマルウェアの使用を含む、高度な操作を展開しています。
接続と進化:
- 他のマルウェアファミリーとの接続: Gigabudマルウェアとの関連を含む。
- 地理的焦点と拡大: 当初はベトナムとタイをターゲットにしていましたが、運用の拡大の兆候があります。
インジケーター・オブ・コンプロマイズ(IoC)
GoldPickaxeマルウェアファミリーとGoldFactoryグループに関連するIoCは、検出と予防の取り組みに不可欠です。これには以下が含まれますが、これらに限定されません:
ファイルとハッシュ:
- GoldPickaxe.iOS:
4571f8c8560a8a66a90763d7236f55273750cf8dd8f4fdf443b5a07d7a93a3df - GoldPickaxe.Android:
b72d9a6bd2c350f47c06dfa443ff7baa59eed090ead34bd553c0298ad6631875 - GoldDigger:
d8834a21bc70fbe202cb7c865d97301540d4c27741380e877551e35be1b7276b - GoldDiggerPlus:
b5dd9b71d2a359450d590bcd924ff3e52eb51916635f7731331ab7218b69f3b9
GoldPickaxe / GoldDigger C2サーバー:
ks8cb.ccms2ve.cczu7kt.cct8bc.xyzbv8k.xyzhzc5.xyz
Gigabud C2サーバー:
bweri6.ccblsdk5.ccnnzf1.ccapp.js6kk.xyzapp.re6s.xyzapp.bc2k.xyz
これらのドメインは、マルウェアのインフラストラクチャの一部であり、コマンドと制御の目的で使用されていると疑われています。これらは、マルウェアがコマンドを受信し、データを抽出し、感染したデバイスを管理する能力において重要な役割を果たします。