TrickBotウイルス感染経路2つと被害防ぐ対策 ネットバンキング不正送金狙い

イメージ 1
Image いらすとや

記事投稿時点では日本国内の銀行は攻撃対象に含まれてないようだけど…。

ネットバンキング不正送金ウイルス 「Dyreza」「Dyre」 をベースに、その後継的な脅威として2016年から確認されてるマルウェア TrickBot(読み方 トリックボット) を紹介します。

【ウイルス定義名】
ESET
Win32/TrickBot
Kaspersky Trojan.Win32.Trickster
Microsoft Trojan:Win32/Totbrick Trojan:Win32/Totbrick!rfn Behavior:Win32/Totbrick Trojan:Win64/Totbrick Trojan:Win32/TrickBot
Symantec Trojan.Trickybot Trojan.Trickybot!gm Trojan.Trickybot!gen2 Trojan.Trickybot!gen5 Trojan.Trickybot!g7 Trojan.Trickybot!g8
Trend Micro TSPY_TRICKLOAD TSPY_TRICKBOT BKDR_TRICKBOT

TrickBot ウイルスはWindows XP/Vista/7/8/10 パソコンが感染ターゲットです。

【ファイル】
C:\Users\[ユーザー名]\AppData\Roaming\winapp\client_id
C:\Users\[ユーザー名]\AppData\Roaming\winapp\[ランダム].exe

Windows 以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は動作対象ではなく大丈夫です。

TrickBot のウイルス感染経路と被害防止対策

ファイルを暗号化して身代金を要求する ランサムウェア など一般的なマルウェアと同じで、TrickBot も大きく 2つのウイルス感染経路 が確認されてます。 

【1】 ウイルス添付の迷惑メール

英語で書かれた 迷惑メール(スパムメール) が世界中にバラ撒かれてます。 <ランサムウェアの感染を狙ったほどではないものの日本のメールアドレス宛てにもいちおう着弾してる

メールに添付されてる不正なファイルや、本文中のリンクからファイルをダウンロードさせる攻撃手口で、請求書や複合機のデータ受信通知などもっともらしい名目でユーザーの自爆感染を誘います。 <ヒューマンエラーが引き金
  • スクリプトファイル .js .jse .vbs .wsf ファイル
  • Officeファイル (マクロウイルス).doc .docm .xls ファイル
  • ワード文書ファイル + スクリプトウイルス入り … .doc ファイル
  • PDF文書 + マクロウイルス入り … .pdf ファイル
  • Windows向け実行ファイル … .exe ファイル
不正なファイルは 実行ファイル(拡張子 .exe / .scr) ではない形式がより多く投入されてます。

結果的としてセキュリティ製品やスパムフィルタのスリ抜けが起こりえる状況です。

ウイルスメール対策

被害を防止するには 『怪しいメールを開かない』 といった実質的に何もしない精神論ではなく、ウイルス対策の基本 Windowsの設定を変更して拡張子を表示 します。

さらに、ファイルの拡張子の知識 で脅威を見抜くのが理想だけど、あらかじめ設定を変更して攻撃時の不正なファイルを無害化しておくのが効果的です。
  1. スクリプトファイルjs/vbs/wsfの無料ウイルス対策

  2. マクロ入りワードdoc/docm&エクセルxlsの無料ウイルス対策

  3. ファイアウォールで無料ウイルス対策 wscript powershell mshta
【2】 ネットサーフィン中の強制インストール

”怪しい” サイトだけではないネットサーフィン中に脅威が突然降りかかります。

改ざん被害を喰らってる一般サイト、侵害された広告配信サーバーを介してネットサーフィン中に TrickBot を強制インストールさせる手口です。

ただ、感染攻撃の成立に2つの条件どちらかに当てはまることが必須です。
  1. Internet Explorer、Microsoft Edge、Microsoft Silverlight を旧バージョンのまま放置するなど月一間隔の Windows Update を実施してない

  2. 無料ブラウザアドオン Adobe Flash Player を旧バージョンのまま放置して最新版に更新してない
脆弱性を解消するウイルス対策

セキュリティ用語で ”ドライブバイ・ダウンロード” と呼ばれる攻撃手法で、最新版ですでに修正済みのソフトウェアの脆弱性を悪用するウイルス感染手口です。

この被害を防止するには、何だかんだ出し抜かれるセキュリティソフトにすべてを託すことはなく、ユーザーさん自らウイルス対策を実施して感染条件2つに当てはまらせない状態を維持するのが大事です。

偽セキュリティブログに注意

TrickBot ウイルスの駆除方法を紹介するかのよう装い、実際にはユーザーを騙して 有償製品の SpyHunterWiperSoft、Reimage をダウンロードするよう仕向ける偽セキュリティブログが複数確認されてます。

イメージ 2
日本語の文法もあったもんじゃない破綻した文章

【詐欺ブログの一例】
http://removespyware.makepcsafer[.]com/
http://www.uninstallallmalwares[.]com/
http://www.2-remove-malware[.]com/jp/
http://www.cyber-securitylab[.]com/jp/
http://deletepcthreats.trojanremovaltool[.]org/
http://deletethreat.uninstallspyware[.]org/
http://www.tips2-remove[.]com/jp/
http://spywareremoval-guide.blogspot[.]jp/
https://www.infectionrecovery-jp[.]com/
https://jp.virusspywarecleaner[.]com/
http://www.hicpuic[.]tk/jp/
http://removepcthreat.scanforvirus[.]org/
http://remove.uninstallbrowserinfection[.]com/

宣伝が目的の誘導ページは、海外(インド、リトアニアなど)のスパマーが行ってるので機械翻訳による変な日本語の文章で書かれてあることが多く、グーグルやヤフーの検索結果に半自動的に生成されたページが大量に溢れ返ります。

セキュリティ会社の情報


TrickBot Is Hand-Picking Private Banks for Targets - With Redirection Attacks in Tow! - IBM Security Intelligence
https://securityintelligence.com/tag/trickbot/

Deep Analysis of the Online Banking Botnet TrickBot - Fortinet
https://blog.fortinet.com/2016/12/06/deep-analysis-of-the-online-banking-botnet-trickbot