悪名高いGrandoreiroバンキング型トロイの木馬が猛烈な勢いで復活し、国際的な法執行機関による取り締まりがサイバー犯罪シンジケートにとって一時的な障害に過ぎなかったことを証明した。
2021年から2024年にかけてINTERPOLとの共同作戦によりスペイン、ブラジル、アルゼンチンでギャングメンバーが逮捕されたにもかかわらず、残存するオペレーターたちは大規模な新キャンペーンを開始した。
金銭目的の脅威アクターたちは現在、ポルトガル、スペイン、メキシコ、およびラテンアメリカ全域の金融機関と企業を積極的に標的にしている。
高度に難読化されたスクリプトと洗練された回避技術を組み合わせることで、Grandoreiroは信頼されたクラウドサービスや日常的なウェブトラフィックの中に悪意のある活動をうまく隠蔽している。
攻撃チェーンは、初期の足がかりを確立するために標的型フィッシングメールに完全に依存している。
被害者は悪意のあるリンクをクリックするよう誘導され、Contaboがホストするような正規だが悪用された仮想プライベートサーバー、またはDropboxに直接リダイレクトされる。
これらのリンクは、悪意のあるペイロードを含む正規ソフトウェアが入ったZIPファイルを密かに配信し、高度にステルス性の高いネットワーク感染の下地を作る。
ペイロードを実行するために、攻撃者はDLLサイドローディングと呼ばれる手法に大きく依存している。
具体的にはlibwebp.dll、mingw10.dll、libffi-6.dll、libpng15.dllという信頼されたDelphi 11ファイルを悪用することで、マルウェアはFastStone Image Viewer、FreeMat、AbiWordといった正規ソフトウェアを密かに乗っ取る。
DLLサイドローディング攻撃と並行して、研究者たちはMediafire上にホストされた悪意のあるVisual Basic Script(VBS)ファイルを利用する第二の感染チェーンを観測した。
実行されると、この高度に難読化されたスクリプトはDelphi 12ペイロードをドロップし、偽のAdobe Readerアップデート画面を表示する。
ユーザーが欺瞞的なアップデートボタンをクリックすると、マルウェアはセキュリティサンドボックス内で動作していないことを確認するための厳格な一連の環境チェックを開始する。
Grandoreiroは広範なアンチデバッグおよび回避メカニズムを含むように進化しており、セキュリティ専門家による分析を困難にしている。
このコードは意図的にゼロ除算とUD2命令を使用してデバッガーを混乱させ、解析環境をクラッシュさせる。
さらに、インストール済みのウイルス対策製品を照会するためにWindows Management Instrumentation(WMI)を積極的に活用し、仮想環境のレジストリキーをマシン上でスキャンする。
Watchguardの調査によると、この再燃はサイバー犯罪者の手法における重大な変化を浮き彫りにしている。
脅威アクターが信頼されたクラウドプラットフォームやウェブ会議プロトコルにシームレスに活動を溶け込ませている現在、表面的な防御だけに頼ることはもはや十分ではない。
組織はこれらの高度なバンキング型トロイの木馬がビジネスに影響を与えるデータ侵害に発展する前に傍受するために、多層的な振る舞い検知と継続的なモニタリングを採用しなければならない。
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/grandoreiro-targets-banks-companies/