日本の金融機関を狙う危険な銀行マルウェア「Shifu」

September 10, 2015 08:00

by 『Security Affairs』

「Shifu」（編集部注：Shifuは「thief」を日本語読みにした「シーフ」のローマ字表記が由来）は、ネットバンキングを狙う新しいトロイの木馬型マルウェアの名前だ。このマルウェアは遅くとも4月には存在しており、日本の金融機関やヨーロッパの複数のネットバンキングプラットフォームを標的としている。

「Shifuは現在、日本の銀行14行とヨーロッパで使用されているネットバンキンクプラットフォームを狙っている。しかし現時点において活動的な攻撃が見られるのは日本だけだ」とIBMのブログは指摘している。

Shifuはネットバンキングユーザーの認証情報や電子証明書を盗み、悪用するように設計されている。また、このマルウェアはバンキングアプリの認証トークンを取得したり、感染した機器に接続されているスマートカードからこっそりとデータを抜き出すこともできる。

Shifuは、認証局が法人ユーザーに発行する電子署名証明書も狙う。このマルウェアを操る人物はこれらの情報を盗み出して被害者になりすまし、文書に署名する。電子署名が広く普及しているイタリアにおいて、IBMはこのマルウェアの重大な動きを観測した。

Shifuは高度なマルウェアで、既に日本の金融機関14行の顧客を標的に使用されているとみられる。また Zeus VMやDridexといった複数の有名なネットバンキングマルウェアの機能を借りている。

Shifuの管理インフラストラクチャには、ドメイン生成アルゴリズム（DGA）が使用されている。Shifuが実装するDGAは、マルウェアShizが実装するものと極めて類似している。それと同時に、 ZeusやGozi、Dridexを真似た回避技術を実装する。他のマルウェアとの類似点はまだある。Shifuが感染機器のシステム復元ポイントを消去するという機能は、Conflickerワーム（2009年）に似ている。

Shifuは他にも興味深い機能を実装している。ShifuはローカルにApache サーバーを立ち上げ、リモートサーバーからWebインジェクションのための情報を入手する際に送信される難読化されたリクエストを解読するために使用する。またこれは、受信トラフィックやファイルを監視することで、他のマルウェアが被害者のマシンに感染するのを防ぐ。

「Shifuのインジェクションは選択的で、ターゲットの性質によって変更される。Shifuのオペレーターがデータを盗むために、銀行のページ全体を本物そっくりの偽物に置き換えたケースもある」とIBMのサイバーセキュリティエバンジェリストのLimor Kessem氏はブログの記事で解説している。「また他にも、 JavaScriptインジェクションを使用してソーシャルエンジニアリングコンテンツをページに表示させ、後の詐欺取引に必要となるであろう個人情報やワンタイムパスワードのような認証要素を被害者に入力させるケースもあった」

他にもShifuには興味深い機能が見つかっている。Shifuは他のマルウェアが侵入できないように設計されているのだ。Shifuは実行ファイルや署名のないファイル、HTTP接続から来る要素といったマルウェアを運んでいる可能性があるファイルを監視することで、他の脅威が被害者のデバイスに感染するのを防ぐ。

IBMの専門家の説明によると、初期のShifuのパッケージには以下の機能が実装されている。

・抗解析ツール、抗VMツール、抗サンドボックスツール

・ブラウザーフッキングとWebインジェクション情報の解析

・キーロガー

・スクリーンショットの取得

・証明書の取得

・エンドポイントの格付け、関心のあるアプリの監視

・リモートアクセスツール（RAT）とボットコントロールモジュール

IBMによると、Shifuを犯罪のエコシステムとして魅力的なものにしている機能が他にもある。このマルウェアが使用するRAMスクレイピングプラグインは、PoSシステムのRAMの情報を集める。

マルウェアが特定の犯罪組織に帰属していることを突き止めるのは難しい。しかしIBMの専門家がソースコードを解析して集めた証拠は、Shifuの作成者がロシア語の話者であることを示唆している。

IBM X-ForceはShifuの詳細なレポートを発行する予定だ。

翻訳：編集部

原文：Shifu, a dangerous Banking Trojan is Attacking Japanese Banks

※本記事は『Security Affairs』の許諾のもと、日本向けに翻訳・編集したものです。