日本の金融機関を標的にしたPanda Bankerを初めて観測

2018年3月27日 デニス・シュワルツ

(画像1: 今回のWebinject「jpccgrab」のログインページ)

サマリー

概観

Panda BankerはZeusマルウェアの亜種です。金融機関からユーザーの認証情報やアカウント番号を盗み、最終的にはお金も奪います。標的にするWebサイトとやり方を規定する「Webjnject」とともに、「Man in the browser」と呼ばれるテクニックを使います。
この銀行を標的にしたマルウェアは、2016年初頭に初めて発見されました(当時のバージョンは2.1.x)。それ以来、着実に増加してきました。細かい部分の変更はありますが、2016年のブログ「Zeusの亜種、Panda Bankerの出現」の内容が、このマルウェアの技術詳細として未だ有効です。
Panda Bankerは闇のフォーラムでキットが売られており、多くのユーザーが存在しています。サイバー犯罪の脅威アクターは、特定の国を標的にする傾向があります。それらの国から盗んだ認証情報とアカウント情報をお金に変換する能力を彼らが持っているかどうかによって、標的にする国が決まります。ここ数年でPanda Bankerの標的にされた金融機関がある国は、イタリア、カナダ、オーストラリア、ドイツ、米国、英国でした。そして今回初めて日本が標的になりました。

分析

Panda Benkerの最新バージョンである2.6.6は、3月26日に観測されました。
SHA256: 8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7
コンパイルした日付: 2018-03-26 09:54:57
このマルウェア自体に大きな変化は見られませんでしたが(おそらく「バグ修正版」程度)、この検体を使ったキャンペーンは次の2つの理由から注目に値します。
  1. 過去のPanda Bankerに見られたIOCの重複がない。
  2. 過去にPanda Bankerが標的にしていなかった日本をターゲットにしたWebjnjectである。
コマンド&コントロール(C2)
この検体向けに構成されたC2サーバーは以下のとおりです。

調査の際はhillaryzell[.]xyzだけが稼働しており、yalapinziw@mail.ruというメールアドレスを使って「Petrov Vadim」に登録されていました。

キャンペーンの名称

このキャンペーンは「ank」と命名されました。

Webinject

調査の際、C2サーバーは27のWebinjectを返していました。それらは以下のカテゴリーに分類できます。

下の画像は、このキャンペーンのWebinjectの例です。

(画像2: 日本を標的にしたWebinject の例)
このキャンペーンのWebinjectは「grabber」を利用します。認証情報とアカウント情報をキャプチャーする「Full Info Grabber」として知られる自動転送システム(ATS)です。上記の画像1および画像2に見られるように、「jpccgrab」というパスが使われています。これはおそらく「Japanese credit card grabber(日本のクレジットカードを強奪する者)」という意味でしょう。

まとめ

もはや日本も、銀行を標的にしたマルウェアと無縁ではありません。最近のレポートによると、UrsnifとUrlzoneというマルウェアを使った攻撃も受けています。今回のブログでは、初めて日本の金融機関を標的にしたPanda Bankerの分析についてお伝えしました。