バンキングマルウェア「Panda Banker」 vs. FFRI yarai
2018年3月、「Panda Banker」と呼ばれるバンキングマルウェアが日本の金融機関をターゲットにしていることが確認されています。・バンクマルウェア「Panda Banker」、日本の金融機関を攻撃開始
・日本の金融機関を標的にしたPanda Bankerを初めて観測
目次
1.バンキングマルウェア「Panda Banker」のマルウェア概要
1-1.フィッシング攻撃とMITB攻撃の違い
1-2.日本をターゲットにしたWebインジェクトの例
2.FFRI yaraiによるバンキングマルウェア「Panda Banker」の防御
【マルウェア概要】
「Panda Banker」は銀行をターゲットとしたマルウェアです。金融機関から顧客の認証情報やアカウント情報を盗み、金銭を詐取します。今までは海外の金融機関が主なターゲットとなっていましたが、今回初めて日本の金融機関が「Panda Banker」のターゲットとなりました。このマルウェアはMITB(Man in the Browser)攻撃手法を利用しています。MITB攻撃の特徴は、マルウェアがネットバンキングユーザーの端末上のWebブラウザを乗っ取り、アカウント情報を盗み見たり、ブラウザ上の画面を書き換えることで送金情報を変更してしまうといったものです。日本でも2012年の10月以降、様々な金融機関で被害が確認されており、各金融機関のWebサイト上でも注意が呼びかけられています。
フィッシング攻撃との大きな違いは、ユーザーがアクセスしているWebサイトは正規のネットバンキングサイトであるということです。従って、サイトの真正性は関係なく、サーバ証明書などでサイトの真正性を確認しても意味がありません。
実際また、ネットバンキングユーザーがネットバンキングサイトに正規の認証プロセスを経てログインした後に、Webブラウザを不正に操ることが可能となるため、ユーザー認証を強化する対策も役に立ちません。
正規のWebサイトへWebインジェクトにより偽の情報入力画面を挿入してユーザーに個人情報を入力させます。
Arbor Networks社により、日本をターゲットとしたWebインジェクトの例が公開されています。
日本をターゲットにしたWebインジェクトの例 参考:Arbor Networks社
実際にインジェクトされたWebサイトにアクセスすると、パスワード入力画面が表示されます。ユーザーが入力した情報は攻撃者のC&C(Command and Control)サーバに送信されます。
インジェクトされたパスワード入力画面
【FFRI yaraiによる防御】
FFRI yaraiは2017年6月にリリースしたエンジンで検知・防御していることを確認しました。「Panda Banker」についてHIPS検知(動的解析)で検知・防御します。
FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
・CODE:Fの核となる5つのエンジンによる多層防御とは
■検証環境
Windows 7 ✕ FFRI yarai 2.9.1(2017 年 6月リリース)※VirusTotal(注) によると、初回登録時の検出率は以下となっています。
「Panda Banker」について、2018-03-26 15:47:09 UTC時点の検出率は10 / 66
■検証した検体のハッシュ値(SHA-256)
・8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7このように「Panda Banker」による攻撃は海外のみならず日本国内でも確認されており、被害に遭わないためにも早急な対策が必要と言えます。 FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。
(注)ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス
関連記事
ランサムウェア「SpriteCoin」 vs. FFRI yarai
ランサムウェア「Spider」 vs. FFRI yarai
ランサムウェア「Bad Rabbit」vs. FFRI yarai
【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2018年 ≫ 2018年4月 ≫ バンキングマルウェア「Panda Banker」 vs. FFRI yarai