Word文書およびEKのマクロを介して配布されるパンダバンカー

バンキングマルウェアは、過去2年間で大きく進化しました. 新しいバンキングマルウェアの断片が出現し続けています, 世界中の銀行をターゲットに. この種の最新の脅威は、ProofpointとFoxITInTELLの研究者によって特定されました. パンダバンキング型トロイの木馬は、悪名高いと機能を共有しています (比較的古い) ゼウス, 現在、オーストラリアとイギリスの銀行を攻撃しています.

から遠ざけるためのより多くのバンキング型トロイの木馬:
Acecard, Androidのトロイの木馬とフィッシングツールのターゲット 30 銀行
銀行ボットネット 2015: 複数の攻撃シナリオ, その他の機能

パンダバンカー: 攻撃の調査

研究者によると, 最初の攻撃, 悪意のあるMicrosoftWordファイルを介して開始, 3月に登録されました 10. いつものように, MSWordの特定の脆弱性が悪用されています, として識別:

CVE-2014-1761
(cve.mitre.orgから)

マイクロソフトワード 2003 SP3, 2007 SP3, 2010 SP1およびSP2, 2013, と 2013 RT; Wordビューア; Office互換性パックSP3; Mac用Office 2011; SharePointServer上のWordAutomationServices 2010 SP1とSP2および 2013; Office Web Apps 2010 SP1およびSP2; およびOfficeWebApps Server 2013 リモートの攻撃者が任意のコードを実行したり、サービス拒否を引き起こしたりできるようにする (メモリの破損) 細工されたRTFデータ経由, 3月に野生で搾取されたように 2014.

CVE-2012-0158
(cve.mitre.orgから)

The (1) リストビュー, (2) ListView2, (3) ツリー表示, と (4) MicrosoftOfficeの共通コントロールのMSCOMCTL.OCXのTreeView2ActiveXコントロール 2003 SP3, 2007 SP2およびSP3, と 2010 ゴールドとSP1; オフィス 2003 WebコンポーネントSP3; SQLサーバー 2000 SP4, 2005 SP4, と 2008 SP2, SP3, およびR2; BizTalkServer 2002 SP1; コマースサーバー 2002 SP4, 2007 SP2, と 2009 ゴールドとR2; Visual FoxPro 8.0 SP1および 9.0 SP2; およびVisualBasic 6.0 ランタイムにより、リモートの攻撃者は巧妙に細工された方法で任意のコードを実行できます (a) Webサイト, (b) Officeドキュメント, また (c) .トリガーするrtfファイル “システム状態” 腐敗, 4月に野生で搾取されたように 2012, 別名 “MSCOMCTL.OCXRCEの脆弱性。”

それらの脆弱性を悪用するために, 潜在的な被害者は、Wordファイル内のマクロを有効にするように誘惑されます. ファイル自体は, それらはターゲットを絞った電子メールキャンペーンで広まっています. 検出された攻撃中, メールはマスメディアや製造業で働く個人に送られました. 攻撃が成功した場合, Wordドキュメントでマクロを有効にしたとき, パンダバンキングマルウェアはからダウンロードされます 78.128.92[.]31/gert.exe –さまざまな標的型攻撃に使用されるサブネット, 研究チームが指摘したように.

パンダバンカーはどのような情報を盗むのか?

コマンドとの接続が1回 & 制御サーバーが確立されます, パンダバンカーは、次のような自宅情報を送信します (ただし、これに限定されません):

• 現在のユーザー名;
• AVプログラムとファイアウォールの実行;
• オペレーティングシステムに関する詳細;
• コンピューターの名前.

必要な情報が送受信されたら, コマンド & 制御サーバーは、他のCを含む構成ファイルで応答します&Cサーバー. また, ファイルにはWebサイトのリストが含まれています (銀行ポータル) パンダが悪意のあるコードを挿入して妥協する.

Proofpointの調査によると, 以下の銀行のお客様を対象としています: サンタンデール銀行, ロイズバンク, スコットランド銀行, TSB, とハリファックス英国.

パンダの作成者が採用しているもう1つの配布方法は、エクスプロイトキットを使用する方法です。. これは研究者が言うことです:

3月以降、パンダバンカーを提供する少なくとも3つの異なるエクスプロイトキットを確認しました。. これらには、Anglerエクスプロイトキットが含まれます, 核エクスプロイトキット, およびニュートリノエクスプロイトキット. 私たちの観察によると、オーストラリアと英国でパンダバンカーのペイロードを配信するためにジオフィルタリングが使用されました.

パンダバンカーの削除. 保護と予防

バンキングトロイの木馬は、疑いを持たないユーザーに大きな損害を与えました, 不正な取引を生成し、銀行の資格情報を盗む. 攻撃シナリオはさらに悪化する可能性があります, 特定のバンキング型トロイの木馬がランサムウェアなどの追加のマルウェアをインストールした場合. バンキングマルウェアはサイバーセキュリティにおいて引き続き大きな問題であるため, どうすれば犠牲者になるのを避けることができるかを自問するのは自然なことです.

明らかなセキュリティ関連の懸念について, マクロは通常、Microsoftによってデフォルトで無効にされています. でも, サイバー犯罪者はそれを知っており、潜在的な被害者にマクロを有効にして、その後感染させる方法を常に見つけています, パンダの攻撃の場合とまったく同じです.

要するに, 銀行のマルウェアに対するセキュリティを強化する, そしてどんなマルウェアも本当に, 次の手順を実行します:

• MicrosoftOfficeアプリケーションでマクロを無効にする.最初に行うことは、MicrosoftOfficeでマクロが無効になっているかどうかを確認することです. 詳細については, 訪問 MicrosoftOfficeの公式ページ. エンタープライズユーザーの場合は注意してください, マクロのデフォルト設定を担当するのはシステム管理者です.
• 不審なメールを開かないでください. そのような単純な. 請求書など、不明な送信者から予期しない電子メールを受信した場合は、正当なものであることを確認する前に開封しないでください。. スパムはマクロマルウェアを配布する主な方法です.
• スパム対策を採用する. スパム対策ソフトウェアを使用する, スパムフィルター, 受信メールの調査を目的としています. このようなソフトウェアは、スパムを通常の電子メールから分離します. スパムフィルターは、スパムを識別および検出するように設計されています, 受信トレイに届かないようにします. メールにスパムフィルターを追加してください. Gmailユーザーは参照できます Googleのサポートページ.

また、マルウェア対策プログラムを常に最新の状態に保ち、実行することを忘れないでください。!