ブラジルの連邦警察は、Grandoreiroと呼ばれる銀行トロイの木馬を運営していた複数のブラジル人オペレーターを逮捕しました。この作戦では、サンパウロ、サンタカタリーナ、パラ、ゴイアス、マットグロッソの各州で5件の一時的な逮捕状と13件の捜索および押収令状が執行されました。スロバキアのサイバーセキュリティ企業ESETが追加の支援を提供し、Grandoreiroのネットワークプロトコルに設計上の欠陥を発見し、被害者のパターンを特定するのに役立ちました。
Grandoreiroは、2017年から活動しているとされ、スペイン、メキシコ、ブラジル、アルゼンチンなどの国々を主な標的とする、ラテンアメリカの銀行トロイの木馬の一つです。このマルウェアは、キーロガーやスクリーンショットを通じてデータを盗むだけでなく、感染した被害者が特定の銀行サイトを訪れた際にオーバーレイを介して銀行ログイン情報を盗む能力を持っています。また、偽のポップアップウィンドウを表示したり、被害者の画面をブロックすることもできます。
攻撃チェーンは通常、フィッシングの誘い文句となる偽の文書や悪意のあるURLを含むメールを利用し、開かれたりクリックされたりするとマルウェアの展開につながり、その後、コマンド&コントロール(C&C)サーバーとの接触を確立して、遠隔から手動でマシンを制御します。
ESETによると、Grandoreiroのマルウェアは、Webブラウザプロセスに属する前面のウィンドウを定期的に監視し、その名前が銀行関連の文字列のハードコーディングされたリストのいずれかと一致する場合に限り、C&Cサーバーとの通信を開始し、終了するまで少なくとも1秒に1回のリクエストを送信します。
このマルウェアの背後にいる脅威アクターは、2020年10月頃からC&Cトラフィックの宛先ドメインを動的に特定するためのドメイン生成アルゴリズム(DGA)を使用しており、インフラストラクチャのブロック、追跡、または乗っ取りを困難にしています。C&C IPアドレスの寿命は1日から425日までさまざまで、平均して、毎日13のアクティブなC&C IPアドレスと3つの新しいC&C IPアドレスがあります。
ESETはまた、GrandoreiroのRealThinClient(RTC)ネットワークプロトコルの実装の欠陥により、C&Cサーバーに接続されている被害者の数に関する情報を取得できたと述べています。これにより、1日平均で551のユニークな被害者が主にブラジル、メキシコ、スペインに広がっていることが明らかになりました。さらなる調査により、毎日平均で114の新しいユニークな被害者がC&Cサーバーに接続していることが分かりました。
ブラジル連邦警察によるこの妨害作戦は、Grandoreiroオペレーションの階層の上位に位置すると信じられている個人を対象としていました。
【ニュース解説】
ブラジルの連邦警察が、銀行トロイの木馬「Grandoreiro」の運営に関与していた複数のブラジル人を逮捕したというニュースは、サイバーセキュリティの分野における重要な進展を示しています。このマルウェアは、2017年から活動しており、主にスペイン、メキシコ、ブラジル、アルゼンチンを標的にしていました。Grandoreiroは、キーロガー機能やスクリーンショットを通じてデータを盗み出すだけでなく、銀行のログイン情報を盗むために特定の銀行サイトを訪れた際にオーバーレイを使用する能力を持っています。
このマルウェアは、フィッシングメールを通じて拡散され、被害者が偽の文書や悪意のあるURLを開くことでマルウェアが展開されます。その後、マルウェアはコマンド&コントロール(C&C)サーバーとの接続を確立し、遠隔から被害者のマシンを制御します。特に、GrandoreiroはWebブラウザのウィンドウを監視し、銀行関連の文字列が含まれている場合にのみC&Cサーバーとの通信を開始するという特徴があります。
脅威アクターは、ドメイン生成アルゴリズム(DGA)を使用してC&Cトラフィックの宛先ドメインを動的に特定し、そのインフラストラクチャの追跡やブロックを困難にしていました。このような技術は、マルウェアの検出と対策を複雑にするため、サイバーセキュリティ専門家にとって大きな課題となります。
この事件の重要な側面の一つは、スロバキアのサイバーセキュリティ企業ESETがGrandoreiroのネットワークプロトコルに設計上の欠陥を発見し、これを利用して被害者のパターンを特定したことです。このような協力は、サイバー犯罪との戦いにおいて国際的な連携の重要性を強調しています。
この作戦の成功は、サイバーセキュリティの分野におけるいくつかの重要な教訓を提供します。まず、マルウェアの拡散と制御におけるフィッシングの役割の重要性が浮き彫りになります。また、マルウェアの検出と対策において、技術的な欠陥を特定し利用することの価値が示されました。さらに、国際的な協力がサイバー犯罪との戦いにおいて不可欠であることが再確認されました。
長期的な視点から見ると、このような作戦は、サイバー犯罪者に対する抑止効果を持つ可能性がありますが、同時に、脅威アクターがより高度な技術を開発し、検出を避けるための新たな手法を模索することも予想されます。したがって、サイバーセキュリティの専門家は、常に最新の脅威に対応するための知識と技術を更新し続ける必要があります。
from Brazilian Feds Dismantle Grandoreiro Banking Trojan, Arresting Top Operatives.
