約1年にわたり検知を回避していたMedusa(TangleBot)バンキングトロイの木馬に関与する新たな詐欺キャンペーンが発見されました。
先週Cleafyの研究者が公開した分析によると、2020年に初めて特定されたこの高度なマルウェアファミリーが、大きな変更を伴って再浮上したことが明らかになりました。
リモートアクセス型トロイの木馬(RAT)機能で知られるこのマルウェアには、キーロギング、画面操作、SMSの読み取り/書き込みが含まれており、脅威アクターが端末上での不正(ODF)という極めて危険な形態のバンキング詐欺を実行できるようになります。
最近の調査結果では、新しいMedusaサンプルと旧来の亜種との間に相違が見られ、後期バージョンではより軽量な権限セットを利用し、全画面オーバーレイ表示やアプリケーションのリモートアンインストールといった新機能が追加されていることが示されています。
Medusaは当初トルコの金融機関を標的としていましたが、2022年までに北米と欧州へ拡大しました。そのRAT機能により、脅威アクターはVNCによるリアルタイムの画面共有とアクセシビリティサービスを用いて侵害端末を完全に制御できます。これにより、アカウント乗っ取り(ATO)や自動送金システム(ATS)詐欺といった危険な攻撃が可能になります。
Cleafyは現在、アフィリエイトによって運用される5つの異なるボットネットを特定しており、それぞれが異なる地理的地域を標的にし、独自のデコイを使用しています。標的にはトルコとスペインだけでなく、フランスとイタリアも含まれるようになりました。配布戦略の顕著な変化も観測されており、脅威アクターは偽の更新手順を通じてマルウェアを配布するために「ドロッパー」 を使用しています。
バンキングマルウェアについて詳しく読む:モバイルバンキングマルウェアが32%急増
このマルウェアは、攻撃者のインフラストラクチャへのWebセキュアソケット接続を介して機能を連携させ、TelegramやX(旧Twitter)などのソーシャルメディアのプロフィールからコマンド&コントロール(C2)サーバーのURLを動的に取得します。この動的取得により、テイクダウンの試みに対する耐性が高まります。
最新のMedusa亜種における戦略的な転換は、必要な権限を最小化して検知を回避し、より長期間にわたり気付かれずに動作できるようにします。
「権限の削減、地理的多様化、そして高度な配布手法の組み合わせは、Medusaの進化する性質を浮き彫りにしている」 と 勧告には記されています。
「TA(脅威アクター) が戦術を洗練させるにつれ、サイバーセキュリティの専門家や不正対策アナリストは警戒を怠らず、これらの新たな脅威に対抗するため防御を適応させなければならない。」
翻訳元: https://www.infosecurity-magazine.com/news/medusa-trojan-variant-emerges/
