IBMは12月19日(米国時間)、「Web injections are back on the rise: 40+ banks affected by new malware campaign」において、日本を含む40以上の銀行を標的としたJavaScript Webインジェクションを用いる新しいマルウェアキャンペーンを発見したとして、注意を呼び掛けた。この新しいキャンペーンは過去の侵害兆候から「DanaBot」との関連が疑われているが、その身元は判明していない。2023年の初めごろから北米、南米、欧州、日本の40以上の銀行でこのキャンペーンの影響が確認されたという。
40以上の銀行を標的としたマルウェアキャンペーンの概要
IBMはこれまでに5万件以上のJavaScript Webインジェクションを使用したユーザーセッションが確認されており、世界中で大規模な攻撃が行われているとみられる。このキャンペーンではバンキング型トロイの木馬を何らかの形で配布し、感染したユーザーの銀行アプリの動作をJavaScript Webインジェクションを使用して侵害する。ユーザーは銀行の認証情報を窃取され、攻撃者により不正に資金が引き出されることになる。
IBMはこのマルウェアによる動作を分析している。分析によると、従来のマルウェアがWebページに悪意のあるコードを直接埋め込むのに対し、今回のマルウェアは攻撃者がホストしているサーバから悪意のあるコードを読み込ませる特徴があるという。これはセキュリティソリューションによる検出を妨害する目的があるものとみられる。また、悪意のあるコードには現在のページから「adrum」を検索する処理が含まれており、これは特定のセキュリティソリューションを検出する目的があるとされ、検出した場合は攻撃を行わないという。
この攻撃では多要素認証(MFA: Multi-Factor Authentication)を回避するため、いくつかの処理がコマンド&コントロール(C2: Command and Control)サーバの指示で行われる。ユーザに多要素認証の情報(電話番号など)を入力させてログインを試行、銀行から送信されるワンタイムパスワード(OTP: One Time Password)を攻撃者が挿入した偽の入力フィールドに入力させて窃取する。その後、ログインページにエラーメッセージを表示し、資金を引き出す時間的余裕を作り出す。
マルウェアキャンペーンに対する防御策
IBMはこのキャンペーンの活動が世界的な規模でみられ、金融機関とその顧客に重大な危険をもたらすとして注意を呼びかけている。IBMはこの攻撃を回避するために、不審なサイトからソフトウェアをダウンロードしないこと、パスワードと電子メールに関するベストプラクティスの実践を推奨している。
また、この脅威を効果的に防止するために、堅牢なセキュリティソリューションの導入と新しいマルウェアに関する継続的な情報収集を推奨している。