バンキングのWebインジェクションは、金融セクターにとって最大のサイバー脅威です

バンキングのWebインジェクションは、金融セクターにとって最大のサイバー脅威です

Recorded Futureは、Recorded Future® Platform、ダークウェブソース、オープンソースインテリジェンス(OSINT)からの現在のデータを分析し、バンキングウェブインジェクションと、世界中の複数の金融機関を対象とするバンキングインジェクションの最も参照されている開発者を特定しました。 このレポートは、データベース侵害、チェッカーとブルートフォース、ローダーとクリプター、クレジットカードスニッファーに関するレポートに続いて、レポート「地下経済における自動化とコモディティ化」で取り上げられた調査結果を発展させたものです。 このレポートは、ネットワーク防御者、セキュリティ研究者、およびセキュリティ リスク管理と軽減を担当するエグゼクティブにとって最も興味深いものです。

Executive Summary

銀行や金融機関は、個人を特定できる情報(PII)、金銭、財務データを盗もうとするサイバー犯罪者の主な標的です。バンキング Web インジェクションは、そのデータを取得するための最も効果的な方法の 1 つです。Web インジェクションは、通常、バンキング型トロイの木馬と組み合わせて、Man-in-the-Browser (MitB) 攻撃ベクトルを利用して、API フックを実行することで正規の銀行 Web ページのコンテンツをリアルタイムで変更します。Web インジェクションは、アンダーグラウンド フォーラムで広く入手できます。このレポートでは、Recorded Future がダークウェブ上のさまざまなバンキング Web インジェクトの亜種の 5 つの主要な開発者と販売者を紹介し、1 つのバンキング インジェクトがどのように機能するかの例を示し、この種の攻撃のリスクを軽減するためのいくつかの戦略を提供します。

主な判断

背景

バンキングインジェクションは、不正を実行するための一般的で強力なツールです。 通常、バンキング型トロイの木馬とともに使用され、悪意のあるHTMLまたはJavaScriptコードをWebページに挿入してから、正規の銀行Webサイトにリダイレクトされます。 通常、Web インジェクトはオーバーレイとして機能し、支払いカード データ、社会保障番号 (SSN)、PIN、クレジット カード確認コード (CVV)、追加の PII などの追加の機密データを銀行が実際に必要としていない場合でも、ユーザーに入力を要求する正当な銀行ログイン Web ページに似ています。

バンキング インジェクションは MitB 攻撃の一部であり、バンキング トロイの木馬は API フックを実行することで正規の銀行 Web ページのコンテンツをリアルタイムで変更できます。正規の Web ページに追加するように設計された変更された感染コンテンツは、通常、リモート コマンド アンド コントロール (C2) サーバーでホストされ、感染したマシンまたはデバイスにダウンロードされる Web インジェクション構成ファイルにあります。攻撃者は、サーバー上および感染したマシン上の設定ファイルを自動的に更新できます。サイバー犯罪者は、これらの構成ファイルを暗号化して難読化して、ウイルス対策ソフトウェアによる検知を回避します。

多くのバンキングWebインジェクションは、WindowsおよびAndroidオペレーティングシステムを対象とし、複数のバンキング型トロイの木馬と統合して、ユーザーの銀行口座の侵害を可能にします。 通常、Webインジェクションと統合されている最も一般的なバンキング型トロイの木馬には、Cerberus、Anubis、Mazar、ExoBot、Loki Bot、RedAlertなどがあります。

一部の技術的に高度なウェブインジェクトは、侵害された被害者のマシンから電信送金を開始できる自動転送システム(ATS)を使用しています。 この方法では、被害者のアカウントにログインして2FAをバイパスする必要はありません。 ATSは、C2(コマンド&コントロール)サーバーにリンクされたスクリプトに、銀行口座、口座残高、その他の個人情報などの銀行情報を挿入し、送金を開始できるようにします。 送金が承認された場合、資金はサイバー犯罪者が管理する口座にリダイレクトされます。

多くのウェブインジェクトには、次の技術的機能もあります。

一部の銀行 Web インジェクト開発者は、既製の Web インジェクトと、顧客の要求ごとに個別に作成されたカスタマイズされた Web インジェクトの両方を提供しています。 これらの製品は非常に高価で、価格は最大1,000米ドルに達する可能性がありますが、技術的に洗練されていないシングルバンキングインジェクションの平均価格帯は、その機能が単純なフィッシングページと同様で、40ドルから70米ドルです。

原則として、Web インジェクトは、特定の組織や Web サイトをターゲットにカスタマイズされます。 組織がダークウェブで広告を出しているときに、特定の組織を標的とした特定のウェブインジェクションを追跡すれば、進化するサイバー犯罪キャンペーンを特定できる可能性があります。

調査と分析に基づき、Recorded Futureは、ダークウェブ上で最も技術的に能力が高く、参照されているバンキングWebインジェクションの作成者として、yummba、Validolik、Kaktys1010、Pw0ned、および「ANDROID-Cerberus」の5つの脅威アクターを特定しました。

banking-web-injects-1-1.png

ダークウェブにウェブが注入される_Banking(出典:Recorded Future)_

カスタマイズされたバンキングWebインジェクションの亜種の背後にいる脅威アクター###

ヤムバ

yummbaとして知られる脅威アクターは、ロシア語を話す非常に熟練したハッカーであり、世界中の複数の金融機関を標的にし、数千万ドルと推定される損害を引き起こしたATSウェブインジェクションの作成者です。 この脅威アクターは、2012年10月に初めてVerifiedフォーラムに登録しました。 この脅威アクターは、ロシア語を話す別のアクターである「lauderdale」を含む悪名高いサイバー犯罪者と関連しており、悪意のあるソフトウェアを宣伝するトップアンダーグラウンドコミュニティのメンバーでした。 Yummbaは、高度にカスタマイズされたツールの開発者として確立されており、その一部は顧客向けに特別に作成されています。 これらの製品は大幅に高価で、価格は1,000米ドルを超えています。 原則として、yummbaが提供するWebインジェクションには完全なソースコードが含まれており、脅威アクターは購入者がいつでも再販することを許可しています。 yummbaはフォーラムでウェブインジェクションの販売を公然と停止しましたが、彼らはそれらを個人的に顧客に販売している可能性があります。

YummbaのカスタマイズされたWebインジェクトは、Zeusバンキング型トロイの木馬など、利用可能なトロイの木馬のすべてのバージョンと互換性があります。 yummbaは、ロシアまたは独立国家共同体(CIS)のメンバーである他の国を対象として製品を使用することを固く禁じています。 これは、ロシアまたはCIS地域に住む脅威アクターが、現地の法執行機関から身を守るために取る一般的な手段です。 Recorded Futureは、脅威アクターのWebインジェクションが複数の国際金融および決済システム、ソーシャルメディア、eコマース企業を標的としていることを確認していますが、フランスの組織に最も力を入れているようです。

Akamai Technologies によると、yummba のソフトウェアは、クライアントのデバイスやネットワークを侵害、攻撃するだけでなく、クロスサイトスクリプティング、フィッシング、ドライブバイダウンロード攻撃を可能にする ATS エンジン Web インジェクションにより、類似ソフトウェアよりも強力です。

バリドック

Validolik は "Validol"、"Валидолик"、"Валидол" とも呼ばれ、Exploit、XSS、Verified、そして現在は廃止されている下位フォーラムの WT1 や HackZona など、いくつかのトップクラスのロシア語フォーラムのメンバーであり、これまでもそうでした。 この脅威アクターは、Android Web インジェクションの主要な開発者の 1 人です。 2017 年 5 月 16 日、Validolik は、多数の米国および国際的な銀行、金融、電子商取引、ソフトウェア、ソーシャル メディア組織に対する標的型攻撃に使用するために特別に設計された複数の Android インジェクトをエクスプロイト フォーラムでリリースしました。 脅威アクターの投稿によると、WebインジェクションはAndroidトロイの木馬の大部分(Mazar、ExoBot、Loki Bot、Anubis、RedAlert)と互換性があり、HTMLとJavaScriptを使用していました。

この脅威アクターは、オーストラリア、オーストリア、カナダ、チェコ共和国、フランス、ドイツ、ハンガリー、香港、ハンガリー、インド、アイルランド、日本、ケニア、オランダ、ニュージーランド、ポーランド、ルーマニア、スペイン、トルコ、米国を含む 20 か国以上の銀行を標的とした 210 回以上の Web インジェクションを提供しています。

Validolik が提供するサービスには、次の 3 つのオプションがあります。

Validolik は、特定の被害者向けに 1 つのウェブ インジェクションを販売したり、同じ国のさまざまな銀行や金融機関を標的に大量に販売したりしています。 たとえば、ログイン/パスワード情報を盗む 1 つの Web インジェクションの開始価格は 10 米ドルでした。 このようなウェブ注入の平均価格は20ドルから40ドルでした。 ウェブインジェクトパックあたりの価格は、パックあたりのウェブインジェクトの数によって異なり、120ドルから180ドルの範囲です。

Validolik は、Anubisバンキング型トロイの木馬の修正版も販売しており、「Light」が1,500米ドル、「Premium」が5,000米ドルの2つのバージョンを提供しています。

2020年1月、Validolikは、前述のボットネットの品質が低いと報告されているため、ダークウェブフォーラムの他のサイバー犯罪者から、Anubisボットネットに関する複数の否定的な苦情と返金要求を受け取りました。 その結果、脅威アクターはエクスプロイトフォーラムと検証済みフォーラムで禁止されました。

banking-web-injects-2-1.png

Validolik によって作成された_Austrianバンク インジェクション パック (出典: Exploit フォーラム) _

banking-web-injects-3-1.png

Validolik によるクレジット カード グラバーによる 2 段階の銀行 Web インジェクションの _Example (出典: Exploit forum)_

カクティス1010

Kaktys1010は、フォーラムExploit、XSS、VLMI、および現在は廃止されているInfraudフォーラムのメンバーであり、SMS /トークンインターセプトの有無にかかわらず、WindowsおよびAndroidのWebインジェクトと偽のWebページの開発者です。 さらに、脅威アクターは、上記で参照したWindowsおよびAndroidのWebインジェクトを宣伝するオニオンWebサイト「KTS」の運営者です。 脅威アクターは、少なくとも2015年からダークウェブでバンキングウェブインジェクションを販売しています。 ウェブサイトKTSは、世界中の複数の銀行や金融機関を対象とするように設計された、以下のカテゴリに分類された幅広いHTMLウェブインジェクションを提供しています。

banking-web-injects-4-1.png

Webインジェクションをリストする_KTSショップランディングページ(出典:KTS)_

この脅威アクターは、主にベルギー、カナダ、コロンビア、チェコ共和国、デンマーク、フランス、ドイツ、イラン、アイルランド、イタリア、メキシコ、オランダ、ポーランド、スペイン、トルコ、英国に所在する組織を標的にするように設計されているとされるWebインジェクションを販売しています。

Kaktys1010は、被害者がログインするために、電子メールアドレス、個人文書、Verified by Visa(VBV)およびMasterCard SecureCode(MC)番号の入力を要求するWebインジェクションも開発しています。 脅威アクターの声明によると、一部のAndroidバンキングWebインジェクトでは、Androidで使用されるファイル形式であるAndroidアプリケーションパッケージ(apk)ファイル、およびモバイルアプリケーションの配布とインストールのために他のAndroidベースのオペレーティングシステムをダウンロードする必要があります。

ウェブインジェクションの価格帯は、60ドルから500ドルまでさまざまです。 KTSは、定価とカート機能を備えた銀行のWebインジェクションを販売しています。ただし、顧客が製品を購入したいと思ってカートに追加すると、フォーラムにリダイレクトされます エクスプロイト そこで売り手と交渉する必要があります。 KTSから直接ウェブインジェクトを購入するオプションはありません。 KTS の Web サイトには、リストされている Web インジェクションのしくみに関する説明が記載されたビデオ チュートリアルが含まれています。 Recorded Futureは、脅威アクターがWebサイトでWindowsバンキングインジェクションを販売しておらず、顧客の要求に応じて特別に細工されたインジェクションを作成していることを確認しました。

banking-web-injects-5-1.png

Kaktys1010 による Bank of Ireland を標的とする _Banking ウェブ インジェクション (出典: KTS)_

脅威アクターは、支払いカードグラバー機能を備えたソーシャルメディアやメッセンジャー専用に作成されたAndroidWebインジェクトも開発および販売しています。 たとえば、2016年4月11日、脅威アクターは、Facebook、Instagram、WhatsApp、Viber、Skype、Google Playを標的としたWebインジェクションパックを450米ドルでリリースしました。 このアクターは、フィッシングジェネレータ機能をWebインジェクトに埋め込んで、攻撃者がフィッシングWebページ上の要素の色、フォント、場所、およびその他のプロパティを変更できるようにします。

Kaktys1010のウェブインジェクトは、「uAdmin」(ユニバーサルアドミニストレーション)と呼ばれる管理パネルで制御できます。 管理パネルは、次のプラグインにリンクされています。

banking-web-injects-6-1.png

Kaktys1010が開発した「uAdmin」パネル(出典:エクスプロイトフォーラム)_

脅威アクターが英語とロシア語を使用してダークウェブフォーラムでWebインジェクションを宣伝しているにもかかわらず、Recorded Futureは、このモニカに関連付けられたTelegramアカウントを運営する脅威アクターがロシア語を話さず、英語を母国語とする個人ではないことを確認しました。 アカウント「kaktys1010」は個人のネットワークによって運営されている可能性があります。

pw0ned(pw0ned)

Pw0ned は、"ws0"、"pwoned1"、"Fent"、"Felothis"、"Yan Okrasov"、"Ян Окрасов"、"User Tester"、"ini" とも呼ばれ、ロシア語を話す経験豊富なハッカーであり、侵入テストを行い、JavaScript と PHP について平均以上の知識を持つ人物です。 この脅威アクターは、2013年4月下旬にロシア語圏のフォーラムYouHackで活動していることが初めて確認されました。 しかし、Pw0nedがダークウェブソースで一貫して活動するようになったのは2015年になってからで、脅威アクターは、Exploit、Verified、FuckAV、BHF、WWH Club、Antichatの少なくとも6つのロシア語圏の犯罪フォーラムで複数のアカウントを作成していました。 2019年以降、この脅威アクターは、主にInstagramやVKontakte(VK)などの人気ソーシャルメディアブランドや、Gmail、AOL、Yandexなどのメールサービスプロバイダーの偽のWebページの開発者として知られています。 この開発には、リモート管理パネル、スパムキャンペーン用の偽のHTMLレター、Webサイトの偽のコピーが含まれています。 Recorded Futureは以前、Pw0nedの活動を調査し、Pw0nedがウクライナのキエフまたはキエフ地域の居住者であり、生年月日は1998年3月19日である可能性が高いと評価しました。 また、彼のファーストネームはミハイル(ロシア語でМихаил)である可能性も高いです。

上記のフィッシングWebページの開発と販売に加えて、脅威アクターは、Cerberus AndroidボットおよびAnubis Androidトロイの木馬と互換性のあるバンキングWebインジェクションの作成者です。 2020 年 7 月下旬、Recorded Future は、プロジェクト「ANDROID-Cerberus」の開発者または販売者が Exploit フォーラムと XSS フォーラムで Cerberus Android ボット プロジェクトをオークションにかけていることを確認しました。 脅威アクターは、マルウェアのソースコード、管理パネルのソースコード、マルウェアサーバー、およびすべてのアクティブなライセンスと連絡先情報を含む顧客データベースを販売していました。 オークションの開始価格は25,000米ドルでしたが、マルウェアを直接100,000米ドルで購入することもできました。 その後、脅威アクターはダークウェブでボットネットのソースコードを公開しました。 Pw0nedは、Cerberus Androidボットネット用に210以上のWebインジェクトを作成したと述べています。 ダークウェブで競売にかけられるとすぐに、脅威アクターはすべてのウェブインジェクションをわずか150米ドルで提供しました。

アンドロイド-ケルベロス

ANDROID-Cerberusは、「Android」または「Cerberus」とも呼ばれ、複数の地下コミュニティのメンバーであり、Cerberus Android Botの作成者です。 脅威アクターは、マルウェアに費やす時間がなかったとされる2020年8月11日に犯罪企業をシャットダウンし、「Cerberus v1 + Cerberus v2 + インストールスクリプト + 管理パネル + SQL DB」を含むCerberus Android Botインフラストラクチャのソースコードを共有しました。 また、脅威アクターは、利用可能なWebインジェクションの全セットを共有しました。 Recorded Futureのアナリストは、攻撃者がアーカイブに詰め込んだソースコードを調査し、銀行、金融機関、ソーシャルネットワークになりすました複数の巧妙に作成されたWebページを特定しました。

リリースされたWebインジェクションは、Cerberus Androidトロイの木馬が資格情報を盗むためにサポートしているアプリです。 Cerberus は、特定の Android アプリからの資格情報の盗難をサポートしており、名前の Android 識別子に基づいてターゲットとするアプリを決定できます。 たとえば、Web injects' フォルダには、Google の Gmail アプリケーション (com[.]google.android[.]GMの) その後に「.html」と「.png」が続きます。 Cerberus は Android のアクセシビリティ機能を悪用してこのインジェクションを行っており、ユーザーの電話上のさまざまなデータ (テキスト メッセージ、Google Authenticator コード、デバイスのロック解除パターンなど) にアクセスできるように見えるため、2FA は必ずしも脅威を軽減するわけではありません。 Recorded Futureは、ソースコードが一般公開されて以来、銀行や金融機関で詐欺の試みが急増すると考えています。 数千とは言わないまでも、数百人の脅威アクターが、漏洩したコードと方法論を日々の不正行為に使用する可能性があります。

Cerberus Androidボットバンキングインジェクションの分析

Recorded Future 分析を実施しました 情報源 ダークウェブで公開された Cerberus Android ボットのコード。 このコードには、インジェクション機能を管理するためのメイン ルーチンである "srvSccessibility" というクラスが含まれています。この関数は、ユーザー インターフェースの機能強化を提供する Android AccessibilityService クラスを拡張します。「srvSccessibility」は 、開発者が定義する 「アクセシビリティサービス」です。アクセシビリティ サービスはバックグラウンドで実行され、開発者はボタンのクリックやウィンドウ フォーカスの変更などのコンテキストの変更を "リッスン" したり、アクティブなウィンドウのコンテンツをクエリしたりできます。悪意を持って使用しない場合は、開発者が別のインターフェイスのフィードバックを必要とする可能性のあるユーザーにより良いサービスを提供できるようにすることを目的としています。

この機能をサポートするには、開発者は、アクセシビリティ サービスによって指定されたイベント フィルタリング パラメータに一致するイベントが発生したときに呼び出される "onAccessibilityEvent" など、必要な関数を実装する必要があります。 簡単な説明は次のとおりです。

Recorded Futureは、「srvSccessibility.java」の「コメントアウト」コードが観察されたファイルは、2019 年 8 月に Cerberus Android を分析した 研究者によって議論されたコードと非常によく似ています。これは、脅威アクターがレポートに記載されているオーバーレイ機能を使用しながら、コードをリファクタリングしたことを示唆しています。

軽減策

Web インジェクション攻撃を検出して防止するために従うべき適切なルールがあります。 次の軽減戦略をお勧めします。

今後の展望

カスタマイズされたWebインジェクトの販売は、ダークウェブ全体で収益性の高いビジネスです。 多くの悪名高いサイバー犯罪者は、世界中の複数の金融機関を標的としたバンキング型トロイの木馬の開発者やオペレーター向けに、主にフィッシングキャンペーンやエクスプロイトキットを介して配信されるWebインジェクションを特に作成しています。

Recorded Futureは、特に最近公開されたCerberus Androidボットのソースコードに照らして、バンキングWebインジェクションは金融セクターを標的とする主要な攻撃ベクトルの1つであり続ける可能性が高いと考えています。

編集者注: この投稿は完全なレポートからの抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。