脅威アクターは、drIBANと呼ばれる高度なWebインジェクトキットを広範に使用し、法人向け銀行機関およびその顧客に対する不正攻撃を組織的に実行してきました。
Cleafyのセキュリティ研究者による新たな勧告によると、drIBANは2019年に初めて発見されました。法人向け銀行セクター内のさまざまな対象を狙うように調整されたJavaScriptコードを使用します。
ブラウザ内中間者(MITB)攻撃の一部として動作し、Webインジェクトによりサイバー犯罪者はTLSプロトコルを回避しつつ、正規のWebページの内容をリアルタイムで改ざんできます。
Cleafyの脅威インテリジェンスおよびインシデント対応責任者であるFederico Valentini氏と、マルウェアアナリストのAlessandro Strino氏は、drIBANの能力の中核はATS(Automatic Transfer System)エンジンにあると説明しました。
これにより脅威アクターは、銀行がログインおよび支払い承認の段階で一般的に使用する認証情報や二要素認証(2FA)コードを必要とせずに、侵害された被害者のマシンから送金を受け取ることができます。
特にdrIBANは、大規模なATS攻撃を実行できます。ユーザーが行う正規の銀行振込を改変し、受取人を変更して、攻撃者またはその関係者が管理する不正な銀行口座へ資金を迂回させることで動作します。
ATS攻撃について詳しく読む:新たなバンキングトロイの木馬「PixPirate」がブラジルを標的に
Valentini氏とStrino氏はまた、drIBANは年々進化し、検知や分析を妨げる回避戦術を採用してきたとも述べました。
研究者らは、2021年6月に多態性(ポリモーフィック)技術を観測したと付け加えました。特定の変数名といった識別可能な特徴が頻繁に変更され、悪意のあるペイロードを追跡することが困難になっていました。
技術的能力に加えて、drIBANは恐喝機能も導入しています。過去1年を通じて、CleafyはWebインジェクトのペイロード内に埋め込まれた複数の恐喝メッセージを特定しました。
これらのメッセージは不自然な英語で書かれており、標的となった銀行機関と交渉して、法人顧客への攻撃を停止させようとする試みを示していました。
こうした進化する脅威に対抗するため、Cleafyは、民間部門、金融機関、コンピュータ緊急対応チーム(CERT)、法執行機関、その他の関係者の間で効果的な協力が必要であると強調しました。
同社は、「脅威インテリジェンスの共有や強固なセキュリティ対策の実装といった能動的な予防措置は、法人銀行口座を保護し、高度なAPTキャンペーンの影響を軽減するうえで不可欠です」と記しました。
「協力を促進し、統一された防御戦略を実装することで、これらの悪意ある活動に対するレジリエンスを強化し、欧州の銀行セクターの健全性を守ることができます。」
翻訳元: https://www.infosecurity-magazine.com/news/driban-target-corporate-banking/
