Xenomorphマルウェアが新たな配布キャンペーンで再浮上し、その標的範囲を拡大して、米国の30以上の銀行に加え、世界中のさまざまな金融機関を狙っています。
ThreatFabricのサイバーセキュリティアナリストは最近、この再流行を突き止めました。これは、Chromeのアップデートを装った欺瞞的なフィッシングWebページを用い、被害者をだまして悪意のあるAPKをダウンロードさせる手口に依存しています。
Xenomorphが専門家の注目を集めたのは2022年2月が最初でした。このマルウェアは、オーバーレイを用いてユーザー名やパスワードなどの個人を特定できる情報(PII)を窃取することで知られています。特筆すべきは、高度な自動送金システム(ATS)エンジンを備えており、幅広いアクションやモジュールを可能にして適応性を高めている点です。
最新の キャンペーンでは地理的な拡大が見られ、スペインと米国で数千件のXenomorphダウンロードが記録されました。これは、大西洋を越えた新市場を狙うという、マルウェア・ファミリー全体のより広い傾向を反映しています。
技術面では、Xenomorphは新たな機能を追加しており、スリープ防止機能、検知回避のための「mimic」 モード、タッチ操作をシミュレートする機能などが含まれます。標的には、スペイン、ポルトガル、イタリア、カナダ、ベルギー、米国の多数の金融機関、そして暗号資産ウォレットが含まれます。
Xenomorphの詳細はこちら:Hadoken Security GroupがXenomorphモバイルマルウェアをアップグレード
もう一つ注目すべき動きとして、Xenomorphが強力なデスクトップ型スティーラーと同時に配布されていることが観測されています。これにより、これらのマルウェア亜種の背後にいる脅威アクター間の潜在的なつながり、あるいはXenomorphが他の悪性ソフトウェア・ファミリーと組み合わせて利用するためのMalware-as-a-Service(MaaS)として提供されるようになった可能性が疑問として浮上しています。
ThreatFabricが月曜日に公開した勧告によれば、この再流行は、サイバー犯罪者が利益を最大化しようとする執拗な取り組みを浮き彫りにしています。
「Xenomorphは数か月の休止を経て戻ってきた。しかも今回は、このファミリーにとって歴史的に関心の高かった一部地域を標的とする配布キャンペーンを伴っている」 と技術レポートには記されています。
「Xenomorphは、極めて危険なAndroidバンキングマルウェアとしての地位を維持しており、非常に汎用性が高く強力なATSエンジンを備える。複数のモジュールがすでに作成されており、複数メーカーの端末をサポートするという考えのもとに設計されている。」
ThreatFabricの勧告には、Xenomorphマルウェアに関連する感染を特定するための重要情報をまとめた詳細な付録が含まれています。
編集用画像クレジット:HI_Pictures / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/xenomorph-targets-30-us-banks/
