2017年2月10日、JC3はDreambotに感染による不正送金の被害が出ていることを受け、注意喚起を発表しました。ここでは関連情報をまとめます。
Dreambotとは何か
- DreamBot (JC3)
- Nightmare on Tor Street: Ursnif variant Dreambot adds Tor functionality (prrofpoint)
本マルウェアはインターネットバンキングマルウェアGoziの機能を引き継いだ、不正送金を目的としたマルウェアです。
https://www.jc3.or.jp/info/malware.html#pl05
Goziと同様、金融機関のオンラインバンキング用認証情報を窃取するためのWEBインジェクション機能や、打鍵情報など感染端末上の様々な情報を収集する機能を保持しています。
また、攻撃者の用意したC2(コマンド&コントロール)サーバとの通信にTor(The Onion Router)を使用し、接続経路を匿名化する機能が追加されたことが報告されています。
JC3の詳細情報にも記載がある通り、2017年1月にこのDreambotによる被害とみられる不正送金被害が発生しています。
piyokangoも1月27日にDreambotに感染させるウイルス付メールが撒かれていることを確認しています。
Dreambot感染までの流れ (判明分)
piyokangoが把握している範囲では、まず電子メールが届きそれを通じDreambotに感染するという手口を確認しています。
感染までの流れをざっくり整理すると次の通りです。
メールを使った複数の手口
メールにはファイルが添付されているものの他、文中にリンクが記載されているパターンも確認しています。
添付ファイルパターン
#スパム情報 謎の多いメール「直話」。「新しい請求書」というキレッキレのファイル名を付ける和田安男。。。一体だれなのだ。添付ファイルは開いたらあかん pic.twitter.com/drN2lCWzQE
— いまむー (@imamooh) 2017年1月27日
なんか変なメール届いたから調べたら
— じゃっぷん (@warshipcaptain) 2017年2月2日
最近出回ってるみたいね
こんな添付ファイル・・・ウイルスに決まっとるやんけw
中身はJavaScriptらしいから絶対開けちゃダメ pic.twitter.com/5QfsHmImjT
また添付ファイルは圧縮ファイルであり、ほぼすべてがZIPです。(RARのケースもありました。)
添付ファイルを展開すると次のファイルのいずれかとなります。
- Javascript(.js)ファイル
- マクロ入り文書ファイル(.doc)ファイル
ばら撒かれているウイルス付メールの情報
piyokangoが把握している情報は次のものです。
メールがばら撒かれていたとみられる日付
2017年1月27日 2017年1月30日 2017年2月2日 * 2017年2月3日 2017年2月7日 * 2017年2月8日 * 2017年2月9日
*マークの日付は届いていたとみられる日付でありpiyokangoの推定。
件名例
勘定書き アカウント 付け出し 会計 口座 支払請求書 支払いの請求書 アカウント 直話
本文例
発行された請求書の詳細については、以下の添付ファイルであります 不尽
こんばんは 請求書上のすべての詳細は添付されています 不悉 和田安男
こんばんは提供された請求書のすべての情報は、以下の添付ファイルに記載されています
検体サンプル
添付ファイル (圧縮ファイル展開後)
| ファイル名 | SHA256 |
|---|---|
| 新しい請求書.js | 5e35c77e586c2868c6e96a6f2d1bb57adf744cd5b3740b6fbac0e5929a28e07b |
| ドキュメント.doc | 36c0c607c4bf8d57a10e76c22d31cbf6e435587da91fcd1c158558de803a97f4 |
Dreambot
| ファイル名 | SHA256 |
|---|---|
| update04.bin | e7e53e7b2143a59aea6d9a88adbb5536a9193a6f1256cc3166658fa4cdbeedb3 |
| newdocument2781.bin | 7357abe2697a420006fa8d8010c5c0ec8fd9eebc29407cb805e51b19b7715e2e |
| kool.jpg | 2d40cc76e3a8da02d681d651dab673bdf964a0e9ab454a87bfa706e4058ff11b |
通信先の情報
圧縮展開後のファイルを実行すると接続する通信先
- 2017年1月27日,30日
analytics.activeadvisory.com 149.56.201.88
- 2017年2月2日、3日
piyokango把握できておらず
- 2017年2月7日〜9日
document.geoffhillyer.co.uk 185.45.193.119 doc.jazztelcommunications.com 185.45.193.119 doc.vipthemagazine.com 185.45.193.119
Dreambotの通信先
resolver1.opendns.com 208.67.222.222 financeanalytics.org 85.17.94.33 185.77.128.246 172.86.121.117
気になること
- 警視庁が行っている監視を通じてこのDreambotに係る情報が公開されていないこと。
- JC3が注意喚起をしているが何を起点に感染するものなのかを明らかにしていないこと。
- Dreambotが不正送金対象としている金融機関。
- Dreambotがばらまかれる直前日まで動きがあったURSNIFが沈静化したこと。
参考
- メールの情報を盗んでウイルス添付メール? (独房の中)
更新履歴
- 2017年2月12日 AM 新規作成
