Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援

本リリースは、2024年3月18日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyは、国際刑事警察機構（インターポール）主導のサイバー犯罪に対する捜査活動を調査・分析の面で協力しています。今年の1月、この当社の取り組みが、銀行を標的とする攻撃活動「Grandoreiro」の運営者5人のブラジル当局による逮捕に貢献しました。この攻撃活動にはバンキング型トロイの木馬が使用されており、被害額は、350万ユーロ以上に上るとみられています。（3月18日付けインターポールの発表はこちら）

マルウェアGrandoreiroはブラジル発祥のバンキング型トロイの木馬で、当社では少なくとも2016年から使用されていることを把握しています。Grandoreiroを使用した攻撃は、スペイン語、ポルトガル語、または英語のスピアフィッシングメールから始まります。標的のマシンに感染した後、キーボード入力のトラッキング、マウス動作のシミュレート、偽のポップアップ画面の表示などを行い、ユーザー名、オペレーティングシステムの情報、デバイスのランタイム情報、そして最も重要な銀行のID情報などを収集します。犯罪者は標的の銀行口座を完全にコントロールして不正に金銭を入手し、マネーミュールネットワークを介して違法な収益を資金洗浄します。

マルウェアGrandoreiroには多くのバージョンが存在しており、異なる複数のオペレーターが開発に関与している可能性があります。当社のエキスパートは、Grandoreiroを使用した攻撃活動は、サイバー攻撃のためにマルウェアを犯罪者に提供する違法なビジネスモデルMalware-as-a-Service（MaaS）の形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。これらのサンプルは、2020年から2022年にかけて、ブラジルとスペインの国家サイバー犯罪捜査活動によって収集されたものです。

捜査に協力した結果、2023年8月までに、複数のマルウェアサンプルの一致を特定した分析レポートが作成され、捜査当局はこれを基に組織的な犯罪グループを追い詰めることができました。

2020年から2022年の間、カスペルスキー製品は世界中の4万人のユーザーに対するGrandoreiroを使用した攻撃を15万回検知・ブロックしました。攻撃が多かった国は、ブラジル、スペイン、メキシコ、ポルトガル、アルゼンチン、米国でした。

インターポールのサイバー犯罪担当ディレクター、クレイグ・ジョーンズ（Craig Jones）氏は次のように述べています。「今回の作戦が成功したことで、インターポールを通じたインテリジェンスの共有が極めて重要であること、官民の橋渡し役になることをインターポールが重視する理由が明確に示されました。また、この地域でさらに協力を進める土台にもなります」

Kasperskyのグローバル調査分析チーム^※でラテンアメリカ部門責任者を務めるファビオ・アッソリーニ（Fabio Assolini）は次のように述べています。「当社は、少なくとも2016年からGrandoreiroを使用した攻撃を観測しています。攻撃者は定期的に攻撃手法を改良し、検知を逃れ、より長く活動を続けようとしてきました。このような状況下では、金融機関は常に警戒を怠らず、それと同時に不正対策技術と脅威インテリジェンスデータを改善し続けることが極めて重要です。また、このようなサイバー犯罪に対抗し、世界中のユーザーや組織にとってより安全な環境を確保するためには、官民のパートナー間の相乗効果を高めることも不可欠です」

当社の2024年のクライムウェアおよび金融サービスに対する脅威予測では、ブラジル発のバンキング型トロイの木馬は、デスクトップ型のバンキング型トロイの木馬が標的としていない空白領域に入り込む可能性を予測しています。そのような形でバンキング型トロイの木馬が復活すれば、2024年の金融サービスに対する脅威トレンドの一つになる可能性があります。

※ グローバル調査分析チーム（Global Research and Analysis Team、GReAT、グレート）
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。