「GCMAN」：1分間に200ドルを盗み出される脅威

ウイルス定義

脅威カテゴリ：標的型サイバー攻撃（APT）、トロイの木馬型ウイルス、マルウェア、ATM、バンキング型トロイの木馬、スピアフィッシング、サイバー犯罪

「GCMAN」とは

「GCMAN」は、標的型サイバー攻撃（APT）の手法と正規版の侵入テストツールを利用してコンピューターネットワークに侵入し、金融機関から電子マネーサービスに送金して金銭を盗み出すサイバー犯罪集団です。マルウェアのコンパイルには、マルウェア作成者の間でも珍しいGCCコンパイラが使われています。

「GCMAN」の手法

感染経路は、スピアフィッシングからです。不正なRARアーカイブファイルが添付されたメールが金融機関に送られ、RARアーカイブファイルを開くと、Microsoft Word文書ではなくウイルスの実行ファイルが起動し感染します。また、犯罪者集団は銀行のサーバーにcronスクリプトを仕込み、1分間に200ドルの金融取引を実行します。

「GCMAN」による攻撃の標的となった組織

攻撃の対象は金融機関に限定されます。

「GCMAN」の攻撃を受ける可能性がある個人や組織とは

所属する組織が金融機関関連の場合、「GCMAN」の標的となる可能性があります。

高度なセキュリティ対策製品を利用して、信頼できるセキュリティ企業のアドバイスを受けるようにしてください。 

「GCMAN」への感染を確認するには

カスペルスキー製品は、「GCMAN」が使用するマルウェアを正しく検知してブロックします。検知名は次のとおりです。

Backdoor.Win32.GCMan; Backdoor.Win64.GCMan; Trojan-Downloader.Win32.GCMan

また、カスペルスキーではセキュリティ侵害の痕跡（IOC）などに関するデータも公開しており、サイバー攻撃集団の痕跡を社内ネットワークで検出するのに役立ちます。

「GCMAN」から自身を守る方法

このマルウェアの侵入の形跡や試みを検出する唯一の方法は、サイバー犯罪者の行動パターンを分析した上で、企業の日々のネットワーク活動の流れの中でその行動パターンを特定して、攻撃を見つけることです。

そして安全のため、必ずKaspersky Endpoint Security for Businessなどの高度なセキュリティ対策製品を利用するようにしてください。また、サイバーセキュリティに対する認識を高め、受信メールボックス内のフィッシングメールを見分けられるようにしてください

保護レベルを強化するには、BSS（Behavior Stream Signatures）モジュールが含まれているシステムウォッチャーを使用することをお勧めします。この機能は、すべての最新製品とソリューションに含まれています。

もちろん、強力なエンドポイントセキュリティを二重三重にするだけでは十分とは言えません。感染経路にはスピアフィッシングが最も多く利用されることから、信頼性の高いメールセキュリティは必須です。Kaspersky Security for Mail Serversは、受信メールに不正な添付ファイルやURLが含まれていないかスキャンし、マルウェア感染のリスクを大幅に減らします。