>
Insiktレポート

バンキングのWebインジェクションは、金融セクターにとって最大のサイバー脅威です

投稿: 2020年10月16日
作成者 : Insikt Group

insikt-group-logo-updated-3-300x48.png

編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

Recorded Futureは、Recorded Future® Platform、ダークウェブソース、オープンソースインテリジェンス(OSINT)からの現在のデータを分析し、バンキングウェブインジェクションと、世界中の複数の金融機関を対象とするバンキングインジェクションの最も参照されている開発者を特定しました。 このレポートは、データベース侵害、チェッカーとブルートフォース、ローダーとクリプター、クレジットカードスニッファーに関するレポートに続いて、レポート「地下経済における自動化とコモディティ化」で取り上げられた調査結果を発展させたものです。 このレポートは、ネットワーク防御者、セキュリティ研究者、およびセキュリティ リスク管理と軽減を担当するエグゼクティブにとって最も興味深いものです。

Executive Summary

銀行や金融機関は、個人を特定できる情報(PII)、金銭、財務データを盗もうとするサイバー犯罪者の主な標的です。バンキングのウェブインジェクトは、そのデータを取得する最も効果的な方法の1つです。 Webインジェクションは、MitB(Man-in-the-Browser)攻撃ベクトルを活用し、通常はバンキング型トロイの木馬と組み合わせて、APIフッキングを実行することで、正規の銀行のWebページのコンテンツをリアルタイムで変更します。 Web インジェクションは、アンダーグラウンドフォーラムで広く利用できます。 このレポートでは、Recorded Futureがダークウェブ上のさまざまなバンキングウェブインジェクションバリアントの主要な開発者と販売者5社をプロファイリングし、1つのバンキングインジェクションがどのように機能するかの例を提供し、この種の攻撃のリスクを軽減するためのいくつかの戦略を提供します。

主な判断

  • バンキングWebインジェクションは、複数のバンキング型トロイの木馬と統合された強力な悪意のあるツールであり、脅威アクターが2要素認証(2FA)を回避してユーザーの銀行口座を侵害することを可能にします。
  • 脅威アクターがバンキングのWebインジェクションを配布するために使用する主な方法は、フィッシングキットとエクスプロイトキットです。
  • ダークウェブ上でのバンキングウェブインジェクションの最も悪名高い開発者と販売者は、「yummba」、「Validolik」、「Kaktys1010」、「Pw0ned」、およびANDROID-Cerberusです。
  • バンキングWebインジェクトは、特定のWebサイトに合わせて高度にカスタマイズされています。その結果、クライアントは Web Inject の開発者とインフラストラクチャに対する潜在的な攻撃を監視できます。
  • Recorded Futureは、Cerberus Androidボットのソースコードが最近リリースされたことで、サイバー犯罪者がソースコードに基づいて世界中の銀行や金融機関を標的とする新しいインジェクションを開発できるようになると評価しています。

背景

バンキングインジェクションは、不正を実行するための一般的で強力なツールです。 通常、バンキング型トロイの木馬とともに使用され、悪意のあるHTMLまたはJavaScriptコードをWebページに挿入してから、正規の銀行Webサイトにリダイレクトされます。 通常、Web インジェクトはオーバーレイとして機能し、支払いカード データ、社会保障番号 (SSN)、PIN、クレジット カード確認コード (CVV)、追加の PII などの追加の機密データを銀行が実際に必要としていない場合でも、ユーザーに入力を要求する正当な銀行ログイン Web ページに似ています。

バンキングインジェクションは 、MitB 攻撃の一部であり、バンキング型トロイの木馬は、APIフックを実行することにより、正規の銀行のWebページのコンテンツをリアルタイムで変更できます。 正規のWebページに追加されるように設計された変更された感染コンテンツは、Webインジェクション構成ファイルにあり、通常はリモートのコマンド&コントロール(C2)サーバーでホストされ、感染したマシンまたはデバイスにダウンロードされます。 攻撃者は、サーバー上および感染したマシン上の設定ファイルを自動的に更新できます。 サイバー犯罪者は、これらの構成ファイルを暗号化して難読化し、ウイルス対策ソフトウェアによる検出を回避します。

多くのバンキングWebインジェクションは、WindowsおよびAndroidオペレーティングシステムを対象とし、複数のバンキング型トロイの木馬と統合して、ユーザーの銀行口座の侵害を可能にします。 通常、Webインジェクションと統合されている最も一般的なバンキング型トロイの木馬には、Cerberus、Anubis、Mazar、ExoBot、Loki Bot、RedAlertなどがあります。

一部の技術的に高度なウェブインジェクトは、侵害された被害者のマシンから電信送金を開始できる自動転送システム(ATS)を使用しています。 この方法では、被害者のアカウントにログインして2FAをバイパスする必要はありません。 ATSは、C2(コマンド&コントロール)サーバーにリンクされたスクリプトに、銀行口座、口座残高、その他の個人情報などの銀行情報を挿入し、送金を開始できるようにします。 送金が承認された場合、資金はサイバー犯罪者が管理する口座にリダイレクトされます。

多くのウェブインジェクトには、次の技術的機能もあります。

  • 一部のウェブインジェクトは2FAをバイパスできます。
  • バンキング型トロイの木馬と統合されたWebインジェクトにはコントロールパネルがあり、ユーザーマシンを完全に制御できます。
  • バンキングのWebインジェクトはさまざまな方法で配信されますが、最も一般的にはフィッシングメールやエクスプロイトキットを通じて配布されます。

一部の銀行 Web インジェクト開発者は、既製の Web インジェクトと、顧客の要求ごとに個別に作成されたカスタマイズされた Web インジェクトの両方を提供しています。 これらの製品は非常に高価で、価格は最大1,000米ドルに達する可能性がありますが、技術的に洗練されていないシングルバンキングインジェクションの平均価格帯は、その機能が単純なフィッシングページと同様で、40ドルから70米ドルです。

原則として、Web インジェクトは、特定の組織や Web サイトをターゲットにカスタマイズされます。 組織がダークウェブで広告を出しているときに、特定の組織を標的とした特定のウェブインジェクションを追跡すれば、進化するサイバー犯罪キャンペーンを特定できる可能性があります。

調査と分析に基づき、Recorded Futureは、ダークウェブ上で最も技術的に能力が高く、参照されているバンキングWebインジェクションの作成者として、yummba、Validolik、Kaktys1010、Pw0ned、および「ANDROID-Cerberus」の5つの脅威アクターを特定しました。

banking-web-injects-1-1.png

ダークウェブにウェブが注入される_Banking(出典:Recorded Future)_

カスタマイズされたバンキングWebインジェクションの亜種の背後にいる脅威アクター###

ヤムバ

yummbaとして知られる脅威アクターは、ロシア語を話す非常に熟練したハッカーであり、世界中の複数の金融機関を標的にし、数千万ドルと推定される損害を引き起こしたATSウェブインジェクションの作成者です。 この脅威アクターは、2012年10月に初めてVerifiedフォーラムに登録しました。 この脅威アクターは、ロシア語を話す別のアクターである「lauderdale」を含む悪名高いサイバー犯罪者と関連しており、悪意のあるソフトウェアを宣伝するトップアンダーグラウンドコミュニティのメンバーでした。 Yummbaは、高度にカスタマイズされたツールの開発者として確立されており、その一部は顧客向けに特別に作成されています。 これらの製品は大幅に高価で、価格は1,000米ドルを超えています。 原則として、yummbaが提供するWebインジェクションには完全なソースコードが含まれており、脅威アクターは購入者がいつでも再販することを許可しています。 yummbaはフォーラムでウェブインジェクションの販売を公然と停止しましたが、彼らはそれらを個人的に顧客に販売している可能性があります。

YummbaのカスタマイズされたWebインジェクトは、Zeusバンキング型トロイの木馬など、利用可能なトロイの木馬のすべてのバージョンと互換性があります。 yummbaは、ロシアまたは独立国家共同体(CIS)のメンバーである他の国を対象として製品を使用することを固く禁じています。 これは、ロシアまたはCIS地域に住む脅威アクターが、現地の法執行機関から身を守るために取る一般的な手段です。 Recorded Futureは、脅威アクターのWebインジェクションが複数の国際金融および決済システム、ソーシャルメディア、eコマース企業を標的としていることを確認していますが、フランスの組織に最も力を入れているようです。

Akamai Technologiesによると、yummbaのソフトウェアは、ATS EngineのWebインジェクションにより、クライアントのデバイスやネットワークを危険にさらすだけでなく、クロスサイトスクリプティング、フィッシング、ドライブバイダウンロード攻撃を可能にするため、同等のソフトウェアよりも強力です。

バリドック

Validolik は "Validol"、"Валидолик"、"Валидол" とも呼ばれ、Exploit、XSS、Verified、そして現在は廃止されている下位フォーラムの WT1 や HackZona など、いくつかのトップクラスのロシア語フォーラムのメンバーであり、これまでもそうでした。 この脅威アクターは、Android Web インジェクションの主要な開発者の 1 人です。 2017 年 5 月 16 日、Validolik は、多数の米国および国際的な銀行、金融、電子商取引、ソフトウェア、ソーシャル メディア組織に対する標的型攻撃に使用するために特別に設計された複数の Android インジェクトをエクスプロイト フォーラムでリリースしました。 脅威アクターの投稿によると、WebインジェクションはAndroidトロイの木馬の大部分(Mazar、ExoBot、Loki Bot、Anubis、RedAlert)と互換性があり、HTMLとJavaScriptを使用していました。

この脅威アクターは、オーストラリア、オーストリア、カナダ、チェコ共和国、フランス、ドイツ、ハンガリー、香港、ハンガリー、インド、アイルランド、日本、ケニア、オランダ、ニュージーランド、ポーランド、ルーマニア、スペイン、トルコ、米国を含む 20 か国以上の銀行を標的とした 210 回以上の Web インジェクションを提供しています。

Validolik が提供するサービスには、次の 3 つのオプションがあります。

  • 「サブスクリプション」 — Mazar、ExoBot、Loki Bot、Anubis、RedAlertの5つのトロイの木馬のすべてのWebインジェクションにすべてのサービス加入者がアクセスでき、その後の加入者には割引と特典が提供されます。 サブスクリプションサービスの1回限りの支払いは1,500米ドルでした。
  • 「フォロー」 — すべてのサービス加入者が追加の特典なしですべてのウェブインジェクションにアクセスできるようにしました。 サブスクリプションサービスの1回限りの支払いは1,200米ドルでした。
  • 「いいね」 - サービス加入者は、価格に関係なく、全リストから50のウェブインジェクションのいずれかにアクセスできるようになりました。 サブスクリプションサービスの 1 回限りの支払いは 500 米ドルです。

Validolik は、特定の被害者向けに 1 つのウェブ インジェクションを販売したり、同じ国のさまざまな銀行や金融機関を標的に大量に販売したりしています。 たとえば、ログイン/パスワード情報を盗む 1 つの Web インジェクションの開始価格は 10 米ドルでした。 このようなウェブ注入の平均価格は20ドルから40ドルでした。 ウェブインジェクトパックあたりの価格は、パックあたりのウェブインジェクトの数によって異なり、120ドルから180ドルの範囲です。

Validolik は、Anubisバンキング型トロイの木馬の修正版も販売しており、「Light」が1,500米ドル、「Premium」が5,000米ドルの2つのバージョンを提供しています。

2020年1月、Validolikは、前述のボットネットの品質が低いと報告されているため、ダークウェブフォーラムの他のサイバー犯罪者から、Anubisボットネットに関する複数の否定的な苦情と返金要求を受け取りました。 その結果、脅威アクターはエクスプロイトフォーラムと検証済みフォーラムで禁止されました。

banking-web-injects-2-1.png

Validolik によって作成された_Austrianバンク インジェクション パック (出典: Exploit フォーラム) _

banking-web-injects-3-1.png

Validolik によるクレジット カード グラバーによる 2 段階の銀行 Web インジェクションの _Example (出典: Exploit forum)_

カクティス1010

Kaktys1010は、フォーラムExploit、XSS、VLMI、および現在は廃止されているInfraudフォーラムのメンバーであり、SMS /トークンインターセプトの有無にかかわらず、WindowsおよびAndroidのWebインジェクトと偽のWebページの開発者です。 さらに、脅威アクターは、上記で参照したWindowsおよびAndroidのWebインジェクトを宣伝するオニオンWebサイト「KTS」の運営者です。 脅威アクターは、少なくとも2015年からダークウェブでバンキングウェブインジェクションを販売しています。 ウェブサイトKTSは、世界中の複数の銀行や金融機関を対象とするように設計された、以下のカテゴリに分類された幅広いHTMLウェブインジェクションを提供しています。

  • Android Web インジェクション
  • 偽のWebページ
  • 動的な Web ページ
  • 静的 Web ページ
  • TrueLogin の Web ページ
  • 注入
  • 未分類

banking-web-injects-4-1.png

Webインジェクションをリストする_KTSショップランディングページ(出典:KTS)_

この脅威アクターは、主にベルギー、カナダ、コロンビア、チェコ共和国、デンマーク、フランス、ドイツ、イラン、アイルランド、イタリア、メキシコ、オランダ、ポーランド、スペイン、トルコ、英国に所在する組織を標的にするように設計されているとされるWebインジェクションを販売しています。

Kaktys1010は、被害者がログインするために、電子メールアドレス、個人文書、Verified by Visa(VBV)およびMasterCard SecureCode(MC)番号の入力を要求するWebインジェクションも開発しています。 脅威アクターの声明によると、一部のAndroidバンキングWebインジェクトでは、Androidで使用されるファイル形式であるAndroidアプリケーションパッケージ(apk)ファイル、およびモバイルアプリケーションの配布とインストールのために他のAndroidベースのオペレーティングシステムをダウンロードする必要があります。

ウェブインジェクションの価格帯は、60ドルから500ドルまでさまざまです。 KTSは、定価とカート機能を備えた銀行のWebインジェクションを販売しています。ただし、顧客が製品を購入したいと思ってカートに追加すると、フォーラムにリダイレクトされます エクスプロイト そこで売り手と交渉する必要があります。 KTSから直接ウェブインジェクトを購入するオプションはありません。 KTS の Web サイトには、リストされている Web インジェクションのしくみに関する説明が記載されたビデオ チュートリアルが含まれています。 Recorded Futureは、脅威アクターがWebサイトでWindowsバンキングインジェクションを販売しておらず、顧客の要求に応じて特別に細工されたインジェクションを作成していることを確認しました。

banking-web-injects-5-1.png

Kaktys1010 による Bank of Ireland を標的とする _Banking ウェブ インジェクション (出典: KTS)_

脅威アクターは、支払いカードグラバー機能を備えたソーシャルメディアやメッセンジャー専用に作成されたAndroidWebインジェクトも開発および販売しています。 たとえば、2016年4月11日、脅威アクターは、Facebook、Instagram、WhatsApp、Viber、Skype、Google Playを標的としたWebインジェクションパックを450米ドルでリリースしました。 このアクターは、フィッシングジェネレータ機能をWebインジェクトに埋め込んで、攻撃者がフィッシングWebページ上の要素の色、フォント、場所、およびその他のプロパティを変更できるようにします。

Kaktys1010のウェブインジェクトは、「uAdmin」(ユニバーサルアドミニストレーション)と呼ばれる管理パネルで制御できます。 管理パネルは、次のプラグインにリンクされています。

  • ログパーサー
  • イベントロガー
  • 仮想ネットワークコンピューティング(VNC) — VNCおよびSOCKSを介してボットネットAPIへの接続を提供します
  • トークンの傍受
  • 被害者トラッカー
  • テキストマネージャーやマネードロップマネージャーなどの追加のフレームワークプラグイン

banking-web-injects-6-1.png

Kaktys1010が開発した「uAdmin」パネル(出典:エクスプロイトフォーラム)_

脅威アクターが英語とロシア語を使用してダークウェブフォーラムでWebインジェクションを宣伝しているにもかかわらず、Recorded Futureは、このモニカに関連付けられたTelegramアカウントを運営する脅威アクターがロシア語を話さず、英語を母国語とする個人ではないことを確認しました。 アカウント「kaktys1010」は個人のネットワークによって運営されている可能性があります。

pw0ned(pw0ned)

Pw0ned は、"ws0"、"pwoned1"、"Fent"、"Felothis"、"Yan Okrasov"、"Ян Окрасов"、"User Tester"、"ini" とも呼ばれ、ロシア語を話す経験豊富なハッカーであり、侵入テストを行い、JavaScript と PHP について平均以上の知識を持つ人物です。 この脅威アクターは、2013年4月下旬にロシア語圏のフォーラムYouHackで活動していることが初めて確認されました。 しかし、Pw0nedがダークウェブソースで一貫して活動するようになったのは2015年になってからで、脅威アクターは、Exploit、Verified、FuckAV、BHF、WWH Club、Antichatの少なくとも6つのロシア語圏の犯罪フォーラムで複数のアカウントを作成していました。 2019年以降、この脅威アクターは、主にInstagramやVKontakte(VK)などの人気ソーシャルメディアブランドや、Gmail、AOL、Yandexなどのメールサービスプロバイダーの偽のWebページの開発者として知られています。 この開発には、リモート管理パネル、スパムキャンペーン用の偽のHTMLレター、Webサイトの偽のコピーが含まれています。 Recorded Futureは以前、Pw0nedの活動を調査し、Pw0nedがウクライナのキエフまたはキエフ地域の居住者であり、生年月日は1998年3月19日である可能性が高いと評価しました。 また、彼のファーストネームはミハイル(ロシア語でМихаил)である可能性も高いです。

上記のフィッシングWebページの開発と販売に加えて、脅威アクターは、Cerberus AndroidボットおよびAnubis Androidトロイの木馬と互換性のあるバンキングWebインジェクションの作成者です。 2020 年 7 月下旬、Recorded Future は、プロジェクト「ANDROID-Cerberus」の開発者または販売者が Exploit フォーラムと XSS フォーラムで Cerberus Android ボット プロジェクトをオークションにかけていることを確認しました。 脅威アクターは、マルウェアのソースコード、管理パネルのソースコード、マルウェアサーバー、およびすべてのアクティブなライセンスと連絡先情報を含む顧客データベースを販売していました。 オークションの開始価格は25,000米ドルでしたが、マルウェアを直接100,000米ドルで購入することもできました。 その後、脅威アクターはダークウェブでボットネットのソースコードを公開しました。 Pw0nedは、Cerberus Androidボットネット用に210以上のWebインジェクトを作成したと述べています。 ダークウェブで競売にかけられるとすぐに、脅威アクターはすべてのウェブインジェクションをわずか150米ドルで提供しました。

アンドロイド-ケルベロス

ANDROID-Cerberusは、「Android」または「Cerberus」とも呼ばれ、複数の地下コミュニティのメンバーであり、Cerberus Android Botの作成者です。 脅威アクターは、マルウェアに費やす時間がなかったとされる2020年8月11日に犯罪企業をシャットダウンし、「Cerberus v1 + Cerberus v2 + インストールスクリプト + 管理パネル + SQL DB」を含むCerberus Android Botインフラストラクチャのソースコードを共有しました。 また、脅威アクターは、利用可能なWebインジェクションの全セットを共有しました。 Recorded Futureのアナリストは、攻撃者がアーカイブに詰め込んだソースコードを調査し、銀行、金融機関、ソーシャルネットワークになりすました複数の巧妙に作成されたWebページを特定しました。

リリースされたWebインジェクションは、Cerberus Androidトロイの木馬が資格情報を盗むためにサポートしているアプリです。 Cerberus は、特定の Android アプリからの資格情報の盗難をサポートしており、名前の Android 識別子に基づいてターゲットとするアプリを決定できます。 たとえば、Web injects' フォルダには、Google の Gmail アプリケーション (com[.]google.android[.]GMの) その後に「.html」と「.png」が続きます。 Cerberus は Android のアクセシビリティ機能を悪用してこのインジェクションを行っており、ユーザーの電話上のさまざまなデータ (テキスト メッセージ、Google Authenticator コード、デバイスのロック解除パターンなど) にアクセスできるように見えるため、2FA は必ずしも脅威を軽減するわけではありません。 Recorded Futureは、ソースコードが一般公開されて以来、銀行や金融機関で詐欺の試みが急増すると考えています。 数千とは言わないまでも、数百人の脅威アクターが、漏洩したコードと方法論を日々の不正行為に使用する可能性があります。

Cerberus Androidボットバンキングインジェクションの分析

Recorded Futureは、ダークウェブで公開されているCerberus Androidボットのソースコードの分析を実施しました。 このコードには、インジェクション機能を管理するためのメイン ルーチンである "srvSccessibility" というクラスが含まれています。 この関数は、Android AccessibilityService クラスを拡張し、ユーザー インターフェースを強化します。 「srvSccessibility」は、 開発者が定義する 「アクセシビリティサービス」です。 アクセシビリティ サービスはバックグラウンドで実行され、開発者はボタンのクリックやウィンドウ フォーカスの変更など、コンテキストの変更を "リッスン" したり、アクティブ ウィンドウのコンテンツを照会したりできます。 悪意を持って使用しない場合、開発者が別のインターフェースフィードバックを必要とする可能性のあるユーザーにより良いサービスを提供できるようにすることを目的としています。

この機能をサポートするには、開発者は、アクセシビリティ サービスによって指定されたイベント フィルタリング パラメータに一致するイベントが発生したときに呼び出される "onAccessibilityEvent" など、必要な関数を実装する必要があります。 簡単な説明は次のとおりです。

  • この関数は、フォーカスされたアプリケーションが変更されたときや、ユーザーがアプリケーションにテキストを入力したときなど、"アクセシビリティ イベント" が発生したときに呼び出されます。

  • アプリケーションは、フォーカスされているアプリケーションのパッケージ名を収集し、それを "app_inject" 変数に配置します。 これは、現在起動されているアプリケーションの名前です (例: "com.bankaustria.android.olb")。 (1).

  • アプリケーションは、(2) から情報を収集する対象としてリストされているアプリケーションの名前に含まれているかどうかを確認します。 アプリケーションが対象となるのは、収集元のメール・サービスまたはアプリケーション・サービスのリストと一致する場合です。 これらのアプリケーション名には、次のものが含まれます。

  • メールサービス:Gmail(com.google.android[.]GM)、 メール[.]コム Androidアプリケーション(com.mail.mobile.android[.]mail)、 Hotmailの (com.connectivityapps[.]hotmail)、 Outlook (com.microsoft.office[.]見通し)、 とYahoo!(com.yahoo.mobile.client.android[.]メール)

  • アプリケーションサービス:Google Play App Store(com.android[.]自動販売機)、 電報 (org.telegram[.]メッセンジャー)、 ウーバー (com[.]ユーバーキャブ)、 ワッツアップ (com[.]whatsapp)、 WeChat(コムテンセント[.]mm)、 Viber (com.viber[.]voip)、 Snapchat (com.snapchat[.]android)、 インスタグラム (com.instagram[.]android)、 IMOメッセンジャー(com.imo.android[.]imoim)、 およびTwitter(com.twitter[.]アンドロイド)

  • アプリケーションがこのアプリケーションに関心があると判断した場合、上記の基準に基づいて、"actViewInjection" クラスのインスタンスを作成して開始することにより、インジェクション プロセスを開始します。 このクラスは脅威アクターによって作成され、オーバーレイの作成を担当します。 (3)

  • インジェクション・ローディングのコードは、「Web ビュー」を作成し、その内容を特定のバンキング・アプリケーションの偽の Web ページ HTML (サポートされている注入のリストで使用可能な場合)、アプリケーション・サービスの偽の Web ページ HTML、またはメール・サービス・アプリケーションの偽の Web ページ HTML に設定することによって機能します。 (4)

  • 最後に、ビューは画面上に配置されるため、アプリケーションのユーザーは正当なWebサイトにアクセスしているように見えますが、実際にはCerberusが個人情報を盗む準備ができています。 (5)

Recorded Futureは、「srvSccessibility.java」の「コメントアウト」コードを確認しました。 ファイルは、2019年8月にCerberus Android を分析し た研究者によって議論されたコードと非常によく似ています。 これは、脅威アクターがコードをリファクタリングした一方で、レポートに記載されているオーバーレイ機能を引き続き使用していることを示唆しています。

軽減策

Web インジェクション攻撃を検出して防止するために従うべき適切なルールがあります。 次の軽減戦略をお勧めします。

  • アプリケーションのログイン Web ページを再設計して、漏洩したソース コードの PNG 画像とは異なるようにします。 クライアント固有の何らかのウォーターマークを追加するか、時間に基づいて変更することを検討してください。これは、Cerberus Android でサポートされている各バンクの静止画像を使用するためです。 画像/透かしが表示されない場合は、そのアプリの本物のログインWebページではないというガイダンスをクライアントに提供します。
  • すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、アプリケーション、およびコア システム ユーティリティです。
  • ユーザーの場合は、ウイルス対策ソリューションをインストールし、署名の更新をスケジュールし、すべての機器のウイルス対策ステータスを監視します。
  • インターネット上ではHTTPS接続のみを使用してください。
  • 従業員を教育し、模擬フィッシングシナリオのトレーニングセッションを実施します。
  • 可能であれば、多要素認証 (MFA) を使用します。
  • ウイルスや空白の送信者などを検出するスパム フィルターを展開します。
  • Web フィルターをデプロイして、悪意のある Web サイトをブロックします。
  • デバイス上のすべての機密性の高い企業情報を暗号化します。
  • 信頼できるソースからのみアプリとファイルをダウンロードするようにユーザーにアドバイスします。

今後の展望

カスタマイズされたWebインジェクトの販売は、ダークウェブ全体で収益性の高いビジネスです。 多くの悪名高いサイバー犯罪者は、世界中の複数の金融機関を標的としたバンキング型トロイの木馬の開発者やオペレーター向けに、主にフィッシングキャンペーンやエクスプロイトキットを介して配信されるWebインジェクションを特に作成しています。

Recorded Futureは、特に最近公開されたCerberus Androidボットのソースコードに照らして、バンキングWebインジェクションは金融セクターを標的とする主要な攻撃ベクトルの1つであり続ける可能性が高いと考えています。

編集者注:この記事はレポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

関連