マルウェアを使った組織だった詐欺行為‘Dyre Wolf’が海外では話題を集めてるらしい

[`evernote` not found]

こんばんは。Hiloyan(@HiloyanHiloker)です。ここのところ、ITっぽい話題からちょっとはなれていたので、今日はここ一週間くらいの間、海外で話題になっているマルウェア‘Dyre Wolf’について紹介しようと思います。

コンピュータ

‘Dyre Wolf’とは?

‘Dyre Wolf’とは、ターゲットとなる巨大企業に対して、Dyleといわれるマルウェアと、spear(槍)といわれるフィッシング電子メール、ソーシャル・エンジニアリングによる戦術、そしてDDoS攻撃をするといったことを一連の組織だった詐欺行為の事をいうとのことです。

Dyre Wolfの攻撃方法

ステップ1:フィッシングメールの送付

最初に、ターゲットとなる企業の社員に対して、電子メールがきます。この電子メールは、重要そうな題がついているそうです。この電子メールには添付ファイルがついていて、ファイル名が“invoice”、“Fax”、“doc”と乱数をつなげたようなファイル名とのことです。Zipファイルを解凍するとPDFファイルがあるように見えるのですが、拡張子を確認すると.scr(スクリーンセーバー)となっていて、プログラムとして実行できる形になっています。

ステップ2:ステージ1、マルウェアの実行

ステップ1で送られた添付ファイルを実行すします。ここでの目的は、Dyreというマルウェアをダウンロードすることにあります。これが終わるまでには複数の段階を得ます。この段階では、マルウェアをダウンロードし、C&Cサーバに接続、ステージ2のマルウェアをダウンロードします。

ステップ3:ステージ2、マルウェアの実行

Dyreがダウンロードされるとそれ自身を削除し、Dyre自体が更新されます。パスワードを盗む機能をもったDyreはこのキャンペーンの中心的な役割をはたしています。このアプリケーションは、さらに拡散していきます。

まず最初にDyreは“Google Update Service”という名前のサービスでインストールされます。その後、そのマルウェアはいくつかのIPアドレスへ接続をします。(接続先のアドレスについては、IBMのレポートのAppendix ‘A’をみてください。)その次にWebブラウザ(IE,Chrome、Firefox)に銀行のサイトに接続したときに割りこめるようにフックを仕込みます。さらには、電子メールを配布し始めます。(ここで配布する電子メールは、ステップ1のもののようです。)

ステップ4:電話コールとソーシャルエンジニアリング

Dyreはいくつかのことなった方法によるソーシャルエンジニアリングの仕組みをもっています。以下の3パターンがあるようです。

1つ目の方法が最も一般的です。Dyreは感染したPCのオンラインのアクティビティを監視していて、ターゲットとなるWebページが表示されるところでログイン情報を収集するというものです。

2番目の方法がDyreは感染したPCのオンラインのアクティビティを監視しています。ターゲットとなるページが表示されると、Dyreはプロキシーサーバとして、Dyreのサーバを経由するようになります。Dyreのサーバは銀行のにせのページを表示します。にせのページは銀行のページを完全にまねしたものとなっていて、そこに入力した情報は攻撃者がお金をだまし取るために使われます。

3番目の方法は、銀行のサーバーに対して接続、感染したPCに表示する前にDyreは画面表示のための情報を書き換えます。具体的には、銀行のサイトにログオンをしようとすると、エラーが発生している旨の内容と、問い合わせの(偽装された攻撃者(Dyre Wolfの))電話番号が表示されます。そこに電話をすると、にせのオペレーターが対応をし、ユーザーネーム、パスワードそして確認のための質問などの確認が行われます。攻撃者はトークンのコードも尋ねるかもしれません。同僚が似たようなアクセスをするかを尋ねるかもしれません。そしてだれがこのアカウントの所有者なのかなどを聞き出します。

その後、攻撃者は、問題がすぐに解決することを請負い、一定時間後にアクセス可能かを試すようにといいます。利用者が待っている間に、攻撃者は、巨額のお金を別の口座へ移動してしまいます。

ステップ5:電信送金

手に入れたログインのために必要な情報をもとに、攻撃者は別のアカウントに大量のお金を移動します。いくつかの報告では、50万ドルから100万ドル以上の金額がさまざまな海外の口座に移されるようです。

重要なのは、これらの攻撃者は、ターゲットとする企業の中でも、この詐欺行為が検知されないように、通常時と同等の金額を送金していることです。詐欺行為が発覚すると、グループはそのお金を急いでさらに別の口座へ移動するので、しばしば送金に失敗するといったどんでん返しもあります。

ステップ6:DDoS攻撃

電信送金を行った後、攻撃者は、被害者に対して、DDoS攻撃を行います。理由としては、①陽動(DDoS攻撃によって気をそらす)②銀行のサイトからの追跡を隠す③被害者に対してオンライン業務の継続を遅らせることで、さらに経済的なダメージを強いるというような理由が考えられるとのことです。

わたしたちへの影響は?

攻撃の内容をみると“Dyre Wolf”による攻撃は考えにくいように思いました。オペレータが英語対応だし、銀行もおそらく、英語圏なのかなと見えます。しかし、これからというところで見ると同じようなことを考える人ってのはすぐ出てきそうな気がするので、海外の出来事とはいえ注意が必要なのは言うまでもないことだと思います。

感想

今回の事件の引き金は、メールに添付された添付ファイルの実行がトリガーになっています。拡張子を偽ることで、pdfと思わせておき、実行可能のファイルだというのは特に目新しいものではありません。また、オペレーターが認証に必要な情報を根ほり葉ほり質問してくる場合は疑う必要があるとか、電話番号は、Webで出てきたのをうのみにはしないで、通帳やカードなどに書かれた情報をもとに電話するとか、金融機関の窓口での対応をするとかといった「トラブル時はオンラインだけの方法には頼らない」ということも必要になってくるのかなと思いました。

この流れだと、やりようでは、2要素認証や、スマホアプリを使ったOTPなんかもかいくぐれちゃいそうな感じがしていて、油断が出来ないご時世になったものだと感じます。

(参考)

IBMのレポート(全文)へのリンク※英語で、PDFファイルへのリンクとなります。

‘Dyre Wolf’ Malware Campaign Employs Social Engineering to Steal from Organizations
IBM has uncovered a sophisticated malware campaign that uses malware, spear-phishing emails, social …

Comments are closed.