バンキングマルウェア「Panda Banker」 vs. FFRI yarai

2018年3月、「Panda Banker」と呼ばれるバンキングマルウェアが日本の金融機関をターゲットにしていることが確認されています。

・バンクマルウェア「Panda Banker」、日本の金融機関を攻撃開始

・日本の金融機関を標的にしたPanda Bankerを初めて観測

【マルウェア概要】

「Panda Banker」は銀行をターゲットとしたマルウェアです。金融機関から顧客の認証情報やアカウント情報を盗み、金銭を詐取します。今までは海外の金融機関が主なターゲットとなっていましたが、今回初めて日本の金融機関が「Panda Banker」のターゲットとなりました。
このマルウェアはMITB（Man in the Browser）攻撃手法を利用しています。MITB攻撃の特徴は、マルウェアがネットバンキングユーザーの端末上のWebブラウザを乗っ取り、アカウント情報を盗み見たり、ブラウザ上の画面を書き換えることで送金情報を変更してしまうといったものです。日本でも2012年の10月以降、様々な金融機関で被害が確認されており、各金融機関のWebサイト上でも注意が呼びかけられています。
フィッシング攻撃との大きな違いは、ユーザーがアクセスしているWebサイトは正規のネットバンキングサイトであるということです。従って、サイトの真正性は関係なく、サーバ証明書などでサイトの真正性を確認しても意味がありません。

実際また、ネットバンキングユーザーがネットバンキングサイトに正規の認証プロセスを経てログインした後に、Webブラウザを不正に操ることが可能となるため、ユーザー認証を強化する対策も役に立ちません。
正規のWebサイトへWebインジェクトにより偽の情報入力画面を挿入してユーザーに個人情報を入力させます。

Arbor Networks社により、日本をターゲットとしたWebインジェクトの例が公開されています。

日本をターゲットにしたWebインジェクトの例 参考：Arbor Networks社

実際にインジェクトされたWebサイトにアクセスすると、パスワード入力画面が表示されます。ユーザーが入力した情報は攻撃者のC&C(Command and Control)サーバに送信されます。

インジェクトされたパスワード入力画面

【FFRI yaraiによる防御】

FFRI yaraiは2017年6月にリリースしたエンジンで検知・防御していることを確認しました。
「Panda Banker」についてHIPS検知(動的解析)で検知・防御します。

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
・CODE:Fの核となる5つのエンジンによる多層防御とは

■検証環境

Windows 7 ✕ FFRI yarai 2.9.1(2017 年 6月リリース)
※VirusTotal(注) によると、初回登録時の検出率は以下となっています。
「Panda Banker」について、2018-03-26 15:47:09 UTC時点の検出率は10 / 66

■検証した検体のハッシュ値(SHA-256)

・8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7

このように「Panda Banker」による攻撃は海外のみならず日本国内でも確認されており、被害に遭わないためにも早急な対策が必要と言えます。 ＦＦＲＩでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

(注)ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス

関連記事

ランサムウェア「SpriteCoin」 vs. FFRI yarai

ランサムウェア「Rapid」 vs. FFRI yarai

「楽天カード株式会社」を装った不審なメールに関する注意喚起

ランサムウェア「Spider」 vs. FFRI yarai

ランサムウェア「Bad Rabbit」vs. FFRI yarai

FFRI yaraiがファイルレスマルウェアを検知

【速報】「株式会社ジャパントラスト　佐々木　康人」を名乗る不審メールに関する注意喚起

FFRI yarai防御実績

FFRI yarai導入事例