昔から存在し、サイバー犯罪で最も利用されている、金融機関を標的としたマルウェアの1つである「URSNIF」(別名:Gozi)の新たな亜種が、バックドア型トロイの木馬として利用されていることが確認された。セキュリティ企業Mandiantが米国時間10月19日に報告したところによると、この亜種は「極めて危険」であり、ランサムウェア攻撃に用いられる可能性が高いという。
提供: Getty
Mandiantのリサーチャーらはこの亜種に関する詳細を報告するとともに、これがランサムウェア攻撃やデータ窃盗攻撃を念頭に置いて意図的に開発されたものだと示唆している。
銀行口座情報の窃盗を目的に作成されたURSNIFマルウェアが初めて登場したのは2006年のことだ。米連邦捜査局(FBI)が「史上最も甚大な金銭的被害をもたらしたコンピューターウイルスの1つ」と評しているように、これまでに引き起こした損失は膨大な額に上っている。その後、オリジナルのソースコードが流出したことで複数の亜種が登場し、今なお被害が発生している。
こうしたURSNIFの亜種は、オリジナルのマルウェアと同様に、銀行口座情報を盗み出すことを目的としている。ただMandiantの分析によると、「LDR4」という新たな亜種ではその目的が変更され、「Trickbot」や「Emotet」のような形態のマルウェアになっているという。
LDR4を使用することで、攻撃者はデータの窃盗や、バックドアを介したランサムウェアのインストールが可能になる。その結果、銀行口座の情報が盗み出されるよりもはるかに甚大で広範囲な被害がもたらされ、攻撃者は大きな対価を得られるようになる。
Mandiantは同社ブログに「LDR4はランサムウェアの配布能力を有する極めて危険な亜種である可能性が高いため、注視しておく必要がある」と記している。
この新たな亜種は2022年6月に初めて確認され、過去のURSNIFキャンペーンをはじめとする多くのマルウェア攻撃と同様に、フィッシング電子メールを介して配布されている。
フィッシングメールの中には、採用担当者を名乗り転職の機会を提供すると称するものもある。そのメールには、欧州連合(EU)の一般データ保護規則(GDPR)を順守するため、メール内では詳細を明かせないと記されており、ドキュメントをダウンロードして確認することを求めているという。これ以外に、急いで目を通す必要がある請求書を添付すると記されたメールも配布されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
