Clafy Threat Intelligence チームのサイバーセキュリティ研究者は、1 年近く検出を回避した後、Android デバイスに戻ってきたバンキング型トロイの木馬 Medusa の新しい亜種を発見しました。
フランス、イタリア、米国、カナダ、スペイン、英国、トルコのユーザーをターゲットにした新たなキャンペーンで発見されています。
2020 年に発見された Medusa (TangleBot としても知られる) は、リモート アクセス トロイの木馬 (RAT) 機能を備えた高度なマルウェア ファミリです。
キーロギング、画面コントロール、SMS メッセージの読み書き機能などの大幅な変更を加えて再登場しました。
これらの機能により、攻撃者 (TA) は、銀行詐欺の最も危険な形式の 1 つであるオンデバイス詐欺 (ODF) を実行できるようになります。
Clafy の脅威インテリジェンス チームは、2024 年 5 月下旬に詐欺キャンペーンを監視中に、バンキング トロイの木馬 Medusa の新しい亜種を発見しました。
彼らは、「4K Sports」と呼ばれるこれまで知られていなかったアプリのインストールが急増していることを観察しました。このアプリは、既知のマルウェア ファミリと完全には一致しない特徴を示していました。
最近の調査結果では、新しい Medusa サンプルと、軽量の権限セットや、全画面オーバーレイ表示やリモート アプリケーションのアンインストール機能などの新機能を含む、以前に知られていたサンプルとの間にいくつかの相違があることが判明しました。
当初、メドゥーサはトルコの金融機関をターゲットとしていたが、2022 年までにその範囲を急速に拡大し、北米とヨーロッパで大規模なキャンペーンを開始した。その RAT 機能により、脅威アクターはリアルタイムの画面共有とアクセシビリティ サービスのために VNC を使用して侵害されたデバイスを完全に制御できます。
これにより、アカウント乗っ取り (ATO) や自動転送システム (ATS) 詐欺などの危険な攻撃が容易になります。
「この RAT (リモート アクセス トロイの木馬) は、リアルタイムの画面共有と対話のためのアクセシビリティ サービスのために VNC を悪用することにより、TA に侵害されたデバイスの完全な制御を許可します。これらの機能により、TA はオンデバイス詐欺 (ODF) を実行できるようになります」とサイバーセキュリティ会社 Clafy の研究者は述べています。言った先週発表された分析で。
「ODF は、被害者のデバイスから電信送金が開始され、アカウント乗っ取り (ATO) や自動送金システム (ATS) などの手動または自動のアプローチに適応できるため、最も危険なタイプの銀行詐欺の 1 つです。」
Clafy は、複数の関連会社が運営する 5 つの異なるボットネットを特定しました。それぞれが、地理的ターゲットと使用されるおとりに関して別々の特徴を示しています。新たな標的にはトルコとスペインに加え、フランスとイタリアも含まれる。
研究者らはまた、検出されたキャンペーン間で配布戦略に明らかな変化が見られ、攻撃者が偽の更新手順を介してマルウェアを配布する「ドロッパー」を実験していることも観察しました。
このマルウェアは、脅威アクターのインフラストラクチャへの Web Secure Socket 接続を通じてその機能を調整し、Telegram、Twitter、ICQ などの公開ソーシャル メディア プロファイルからコマンド アンド コントロール (C2) サーバーの URL を動的に取得して難読化を強化します。
この動的な取得により、削除の試みに対する復元力が向上し、これらのソーシャル メディア プラットフォームでバックアップ チャネルを使用してさらなる冗長性を実現します。
最新の Medusa 亜種は、軽量アプローチへの戦略的移行を示しており、必要な権限を最小限に抑えて検出を回避し、長期間検出されずに動作する能力を強化しています。
「許可の削減、地理的分散、洗練された配布方法の組み合わせは、Medusa の進化する性質を強調しています。
TA が戦術を洗練させるにつれて、サイバーセキュリティの専門家と不正行為対策アナリストは警戒を怠らず、これらの新たな脅威に対抗するために防御を適応させる必要がある」と研究者らは結論づけています。
