2018年8月28日

Kaspersky Lab、複雑な銀行系マルウェア「Dark Tequila」が2013年からメキシコを標的に活動していることを明らかに

金融系マルウェアではあまり見られない複雑なDark Tequilaは、コードはモジュール構造で検知メカニズムを含み、発見されることを回避します。実行条件に合致した場合にのみ感染を実行し、また、実行ファイルを自動再生させるためにリムーバブルドライブにもコピーします。今も活動中で、新たな検体が見つかっています。

[本リリースは、2018年8月21日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チーム(GReAT は、高度なサイバー活動「Dark Tequila(ダークテキーラ)」が、少なくとも5年前の2013年からメキシコのユーザーに対して、銀行の認証情報、個人情報や企業データを窃取していることを明らかにしました。この活動は、オフラインのコンピューターを介して横展開を可能にするマルウェアを利用しています。悪意あるコードは感染したUSBデバイスやスピアフィッシングメール経由で拡散しますが、検知をすり抜けるモジュールが含まれていました。Dark Tequilaを仕掛けたサイバー犯罪組織は、スペイン語話者であり、ラテンアメリカ地域を起源とするとみています。

Dark Tequilaのマルウェアとそのインフラは、金融詐欺の活動としては極めて高度化されています。主な目的は金融情報の窃取とみられていますが、そのほかにも標的のコンピューターに感染した後に、利用者の多いWebサイトの認証情報の抜き取りや、ビジネス用および個人用のメールアドレス、ドメイン一覧、ファイルストレージのアカウント情報などを窃取します。例えば、Bitbucket、Amazon、GoDaddy、Network Solutions、Dropbox、RackSpaceの認証情報や、Zimbraのメールクライアント情報などです。これらの情報は売却されるか、将来の活動に利用されると考えられます。

このマルウェアは多段階のペイロードを保持し、感染したUSBデバイスやスピアフィッシングメール経由で拡散します。コンピューター内に侵入した後、指令サーバーと通信しますが、ペイロードが配信されるのはネットワークで特定の条件が満たされた場合のみです。セキュリティソリューションやネットワークモニタリング、あるいは仮想サンドボックスのような分析環境でサンプルが実行される兆候を検知した場合、マルウェアは感染ルーチンを停止し、自らをシステムから消去します。

実行の条件が満たされた場合は、標的への環境に感染を実行し、さらに実行ファイルを自動再生させるためにリムーバブルドライブにコピーします。この仕組みによって、最初は1台のコンピューターのみをスピアフィッシングによって侵害しただけで、オフライン状態でも標的のネットワーク内を移動できるようになります。感染したコンピューターに別のUSBが接続されるとそのUSBも自動的に感染し、ほかの標的にマルウェアを拡散するようになります。

このマルウェアには、キーロガーやウィンドウモニタリング機能など、ログイン情報や個人情報を収集するために必要になるすべてのモジュールが含まれています。指令サーバーからコマンドを受信すると、各モジュールが復号されて起動します。窃取したすべてのデータは、暗号化して指令サーバーにアップロードします。

Dark Tequilaは、メキシコまたは同国に接続するユーザーを標的として、少なくとも2013年から活動しています。当社の分析によれば、コード内にスペイン語が含まれ、その地域特有のナレッジについての証拠が存在することから、この活動を仕掛けたサイバー犯罪組織はラテンアメリカ地域に存在すると推察しています。

Kaspersky LabのGReATラテンアメリカ地域ディレクター、ドミトリー・ベストゥージェフ(Dmitry Bestuzhev)は次のように述べています。「Dark Tequilaは一見すると、金銭的利益を求めて認証情報などを窃取する、ほかの金融系トロイの木馬に似ていますが、解析を進めるうちに金融系の脅威にはあまり見られない複雑なマルウェアであることがわかりました。コードはモジュール型構造であり、難読化され、検知メカニズムによって発見を回避し、マルウェア自身が安全であると判断した場合に限り悪意あるペイロードを送信するようになっています。この攻撃は数年にわたって活動中であり、今でも新しい検体が見つかっています。これまでは、メキシコ国内の標的のみが攻撃されてきましたが、このマルウェアは世界中のあらゆる地域の標的を攻撃できる技術的能力を持っています」

カスペルスキー製品は、Dark Tequila関連のマルウェアを検知・ブロックします。

スピアフィッシングやUSBなどのリムーバブルメディア経由による攻撃から防御するために、次のことを推奨します。

すべてのユーザーに対して:

  • メールの添付ファイルを開く前に、アンチウイルスセキュリティ製品によってチェックを行う
  • USBデバイスからの自動再生を無効にする
  • USBドライブを開く前に、アンチウイルスセキュリティ製品によってチェックを行う
  • 心当たりのないデバイスやUSBを自分のデバイスに接続しない
  • 金融系脅威に対する堅牢な保護の追加機能があるセキュリティソリューションを利用する

企業にはさらに次の対策を推奨します:

  • 業務に必要ない場合、ユーザーデバイス上のUSBポートをブロックする
  • USBデバイスの利用を管理する(利用可能なUSBデバイス、利用者、利用目的を定義)
  • USBの安全な利用方法について従業員教育を行う(特に家庭用コンピューターと仕事用デバイスの間でUSBをやり取りする場合)
  • USBを周辺や見える場所に放置しない

■ 参考情報

Dark Tequilaについて詳しくは、Securelistブログ「Dark Tequila Añejo」(英語)をご覧ください。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。