出典:jozef sedmak(Alamy Stock Photoより)
新たなトロイの木馬がブラジルで拡散しており、ワームとしてWhatsAppを通じて広がり、人々を騙して銀行の認証情報を入力させています。
LevelBlueのシニアセキュリティリサーチマネージャーであるカール・シグラー氏とその同僚は、「Eternidade」スティーラーを支えるコマンド&コントロール(C2)インフラへの侵入に成功しました。そこで彼らが発見したのは、約1万台の感染システムであり、このプログラムが特定の被害者層に対して、信頼されたソーシャルメディアを通じてどれほど執拗に拡散しているかを示しています。
Eternidade 前半:ワーム
Eternidadeは2つの部分で構成されています。最初はワームで、被害者のWhatsAppの全連絡先リストを自動的に取得し、全員に自身のコピーを送信するよう設計されています。
しかし、単純にできるだけ広く拡散するのではなく、このプログラムは被害者のビジネス連絡先やグループチャットをすべて除外します。研究者たちは、感染が最も成功しやすいのは、友人や家族からのパーソナライズされた直接メッセージの形で届く場合だと考えています。
このマルウェアには、メッセージの信憑性を高めるためのちょっとした工夫もあります。マルウェアは、受信者の名前をフィッシングメッセージに自動入力し、メッセージが送信される実際の時間帯に応じて「おはよう」「こんにちは」「こんばんは」(いずれもポルトガル語)を含めます。メッセージテンプレートは、攻撃者がC2インフラを通じてさらにカスタマイズすることも可能です。
もう一つ注目すべき点は、マルウェアのドロッパーファイルが当初はPowerShellで書かれていたのに対し、新しいバージョンはPythonで書かれていることです。「ほとんどのドロッパー、特にブラジルで見られるものは、通常PowerShellで書かれています」とシグラー氏は述べています。「(マルウェアの作者は)エンドマシンがWindowsであることを想定しているので、PowerShellで実行します。Pythonを使うのは、マルウェア作者のスキルセットを示している可能性があります。」
あるいは、より興味深いことに、脅威アクターの意図を示している可能性もあります。「(Eternidadeを)マルチプラットフォーム化し、LinuxやMacでも動作させようとしているのかもしれません」とシグラー氏は述べています。
Eternidade 後半:トロイの木馬
トロイの木馬としてのEternidadeの後半は、より多機能です。被害者のオペレーティングシステム(OS)の言語がブラジルポルトガル語に設定されているか、ホストマシンが企業ネットワークやサンドボックス環境の一部であるかどうかを確認します。システム上で稼働しているセキュリティプログラムを特定し、その他さまざまなシステムデータを収集して、被害者が通常のブラジル人個人であることを確認した上で悪意のある活動を進めます。
これらすべてのチェックを通過すると、最終的なスティーラーペイロードがロードされ、実行されます。このコンポーネントはDelphiで書かれており、かつては世界の多くの地域で非常に人気のあったプログラミング言語ですが、現在ではほとんど使われなくなっています。しかし、LevelBlueによれば、ブラジルのサイバー犯罪シーンでは今も「基盤」となっています。
シグラー氏の説明によれば、「ブラジルはある程度孤立しており、ラテンアメリカで唯一ポルトガル語を使う国です。ブラジルの教育プログラムの多くは、特にブラジル向けに設計されています。そのため、完全に孤立した環境ではありませんが、より焦点を絞った環境となっています。そしてDelphiは、彼らが注力してきたものの一つです。」
その結果、「他のプログラミング言語やスクリプト言語が他の地域で広く普及した一方で、(ブラジルの)コンピュータサイエンスやITプログラムはDelphiを取り入れたことで、さらに普及したのだと思います。」
Delphiには、スティーラーのようなものを作る際にいくつかの利点があります。「学びやすく、とてもシンプルです。非常に複雑なことはできませんが、このような用途――ダウンロード、システム情報の収集、システム情報を別のドメインに送信する――にはDelphiは非常に適しています」と彼は述べています。
スティーラーは、被害者が銀行、暗号通貨、フィンテックのウェブサイトを利用していることを示すアクティブなウィンドウやプロセスをスキャンすることから始まります。標的となるサービスには、ブラジル銀行、サンタンデール、Stripe、Coinbase、Binance、Metamask、Ledger Liveなど多数が含まれます。被害者がこれらのプラットフォームのいずれかを訪れると、マルウェアは攻撃者のためにログイン認証情報を入力させるためのオーバーレイを表示します。
このマルウェアは、ファイルのダウンロード、アップロード、持ち出し、スクリーンショットの取得、キーストロークの記録など、さまざまなリモートコマンドも実行できます。さらに興味深いのは、C2のテイクダウンによる影響を回避する仕組みです。
攻撃者は、マルウェアが意図した被害者にしか表示されないようにするための工夫に加え、Eternidadeがメールを使って自動的にC2ドメインを切り替えられるようにも設計しました。これは、マルウェアに認証情報をハードコードし、攻撃者が管理するメールドメインに接続して内容を読み取れるようにしたものです。もしサイバーセキュリティ担当者がEternidadeのC2をテイクダウンできた場合でも、攻撃者は新しいC2アドレスの場所を記載したメールを作成するだけで、マルウェアは即座に新たな指令先を認識します。
「これは非常に興味深いです」とシグラー氏は述べています。「私たちもこれほどのものはあまり見たことがありません。」
翻訳元: https://www.darkreading.com/threat-intelligence/whatsapp-eternidade-trojan-self-propagates-brazil
