「SophosLabs: Vawtrak banking malware updated with new targets and innovations」(SOPHOS BLOG)

Sophosが発表した最新の報告書によると、「Vawtrak」(「NeverQuest」「Snifula」と呼ばれることもある)は数年前からあるマルウェアだが、クライム(犯罪)アズ・ア・サービスキットとしていまでもさまざまなサイバー犯罪グループが利用しているという。

新しいバージョン「Vawtrak version 2」をSophosLabsが分析したところ、マルウェアの作者は新しい工夫を加えていることがわかった。頻繁に更新することで犯罪者らのニーズを満たし、防御対策に先んじているという。

Vawtrak version 2が出荷通知に見せかけた電子メールを送りつけ、すでにマルウェア「Pony」に感染済みのコンピューターに侵入していることをSophosLabsは確認している。

2014年末にSophosはVawtrak(オリジナル)についての報告書を作成したが、その後も被害にあった銀行と国は拡大している。最も攻撃が多い米国をはじめ、カナダ、英国、日本、イスラエルなどで攻撃キャンペーンが確認されている。

一方で、Vawtrakが登場してすぐの調査時に最も狙われている国となっていたドイツとポーランドについては、バージョン2では攻撃は確認されなかったという。

このような地理的変化から、Vawtrakのクライムウェア顧客がドイツやポーランドには興味がないといえる。だがひょっとすると、感染したIPアドレスのGeo IPルックアップなどのサーバーサイドのチェックが原因で、Sophos Labsがこれらの国の設定ファイルを見逃しているのかもしれない。

ではVawtrak version 2で加わった工夫とは何か?SophosLabsによるとVawtrak version 2には、マルウェア分析に使われる既存ツールを破るような変更が加わっているという。

「変更としては、難読さのレベルがアップし、暗号化も変更している。既存のツールはオリジナルのVawtrakサンプルで使ったアルゴリズムを実装している可能性があり、これから一時的に免れることが変更の動機かもしれない」とSophosLabsは分析している。

SophosLabsはまた、Vawtrackがversion 2では軽量になっている点も報告している。スリム化することで、高度な機能を加えたり、ターゲットを選択してモジュールのように実装することが可能になるという。