コヨーテとマーベリック、ブラジルで猛威を振るうバンキングトロイの木馬

出典：Ron Niebrugge（Alamy Stock Photo経由）

ここ数か月の脅威キャンペーンの結果、複数のバンキングトロイの木馬がブラジルで被害者を出しています。

セキュリティベンダーのCyberProofの研究者は今週、今年を通じてブラジル市民を標的にしてきた2種類のマルウェア「Coyote」と「Maverick」についての分析を発表しました。CyberProofは2月に初めてCoyoteを取り上げ、このトロイの木馬がデスクトップ版WhatsAppユーザーを標的にし、銀行や暗号通貨の認証情報を収集する手口を解説しました。

さらに詳しくは、研究ブログで、CyberProofの研究者がCoyoteと、最近発見された他のバンキングトロイの木馬（Maverick（KasperskyとBlueVoyantが取り上げ）、Sorvepotel（Trend Microが取り上げ）、そしてWhatsAppワーム（Sophosが先月報告）との類似点を発見したことが記されています。

Sophos Counter Threat Unitの上級脅威研究者Tony Adams氏は、Dark Readingに対し、同社がラテンアメリカ地域でWhatsAppユーザーを標的としたバンキングトロイの木馬による複数の活動の波を確認していると語っています。

「これらのキャンペーンによる被害組織数は数百にのぼり、特にWhatsAppを通じてビジネスを行っている企業は、遅かれ早かれこれらの攻撃に遭遇する可能性が高い」と彼は述べています。「10月に報告した最新のキャンペーンでは、1,000台以上のエンドポイントを持つ400以上の顧客環境で初期段階の活動に対応しました。」

Sophosのデータによると、特定された感染のほとんどはブラジルで発生しています。研究者は450件以上の事例を追跡し、その多くが公共部門の組織でしたが、製造、技術、教育、建設分野でも事例が見られました。

すべてのケースで、マルウェアはブラジルのデスクトップ版WhatsAppユーザーを標的にし、金融情報を奪取し、感染した被害者の連絡先リストを狙って自己複製します。金融を狙ったマルウェア自体は目新しいものではなく、こうしたキャンペーンは今年以前にも観測されていますが、CyberProofの調査は、ローカライズされた脅威キャンペーンがいかに大きな被害をもたらすかを示しています。

コヨーテとマーベリック

2月の最初の報告以来、CyberProofの研究者はCoyoteおよび類似の感染事例に対応してきており、その結果、広く報道されているMaverickとの間にいくつかの共通点を観察しています。CyberProofの高度脅威ハンティングサービスリーダー、Niranjan Jayanand氏は、Maverickは「2024年に見られたCoyoteの最初のバージョンと比較して、Coyoteの第2バージョンをアップデートしたもののようだ」とDark Readingに語っています。

前述の類似点に加え、CoyoteとMaverickはいずれも、見込み被害者が（感染した連絡先リスト内のユーザーから）zipファイル付きのメッセージを受け取り、添付ファイル（および同梱されたLNKショートカットファイル）をデスクトップPCで開くよう指示されることで拡散します。開くと、WindowsのLNKファイルがPowerShellコードを実行し、多段階の攻撃が開始されます。

これには、コマンド＆コントロール（C2）サーバーへの接続、リモートペイロードのダウンロード、銀行や暗号通貨の情報の収集が含まれます。CyberProofは両者の間にいくつかの違いも特定しましたが、どちらのマルウェアも.NETで書かれており、類似したバンキングアプリケーション監視ルーチンコードを使用していました。

これまでに観測されたMaverickのキャンペーンは、銀行機関やホスピタリティ組織に関連するユーザー、そして自己複製スキームに巻き込まれたデスクトップ版WhatsAppユーザーを標的にしていました。Coyoteの被害傾向も同様のようです。

CyberProofは、組織に対し、従業員教育（特にフィッシングの見分け方や一般的な攻撃経路について）、アクセス制御、リアルタイム監視が可能な高度なプラットフォームへの投資を推奨しています。

なぜブラジルなのか？

Jayanand氏はDark Readingに、CyberProofのテレメトリーでこれらのキャンペーンに関連する「数千件の感染」を観測したと述べています。Trend Microの広報担当者はメールで、同社の研究者が追跡したキャンペーンでは、特定された感染のほとんどがブラジルで発生し、450件以上の事例を追跡したと述べています。

CyberProofが注目したMaverickマルウェアの興味深い機能の一つは、トロイの木馬がユーザーがブラジルに拠点を置いているかどうかを確認することです。そうでない場合は自動的に終了します。これは、ブラジルがバンキングマルウェアの標的としてよく知られているにもかかわらず、このレベルでの極端なローカライズは珍しいため、注目に値します。

この理由について、Jayanand氏はMaverickとCoyoteが標的を絞っていると述べています。「ブラジルの世界的影響力が拡大するにつれ、デジタルプレゼンスも並行して成長しており、国内外のサイバー脅威アクターが重要インフラを狙って注目を集めています」と彼は語ります。

AttackIQの脅威インフォームドディフェンス担当副社長Jon Baker氏は、ブラジルとWhatsAppの組み合わせは、同国の人口の多くがこのプラットフォームを利用していることを考えると非常に理にかなっていると述べています。

「WhatsAppはブラジル国内で1億4,800万人以上のユーザーを抱えており、ブラジルの機関を対象とした大規模攻撃のプラットフォームとして最適です。金銭目的の脅威アクターにとって、WhatsAppはユーザーを標的にして認証情報を盗み、金融機関へのアクセスを得る絶好の機会を提供します」とBaker氏は述べています。「これは、攻撃者が技術を進化させ、大規模攻撃の新たな機会を見出し続けていること、そして世界中のあらゆる場所で侵害の可能性があることを改めて示しています。」