Ursnif

この記事をシェア
Ursnif
別名 ISFB、Gozi、Dreambot
活動開始時期 2006年
プラットフォーム Windows
カテゴリ 情報窃取型マルウェア

概要

Ursnifは、2006年頃から確認されているバンキングマルウェアです。感染すると端末内の認証情報や機密情報が窃取されます。2015年にはソースコードが流出しており、さまざまな亜種が確認されています。主な感染経路としては、電子メールの添付ファイルが挙げられます。日本国内においても感染を狙った大規模なキャンペーンが実施されており、日本語で書かれた電子メールが多数確認されました。

Ursnifのタイムライン

Ursnifのタイムライン

機能

Ursnifはさまざまな亜種が存在し、有する機能も多岐に渡ります。ここでは、主な機能を紹介します。

ブラウザセッションハイジャッキング

銀行のWebサイトへHTMLファイルを挿入し、IDやパスワードなどの認証情報を窃取します。

キーロギング機能

感染端末上で入力された情報を窃取します。入力内容をzipファイルとして圧縮し、拡張子をbinに変更してから送付します。

クリップボード情報の窃取

感染端末内に保存されたクリップボード内の情報を窃取します。キーロギングで窃取した情報と一緒にC&Cサーバーへ送付されます。

Domain Generation Algorithms(DGA)機能

セキュリティ製品による検知回避や解析妨害のために、C&Cサーバーのドメインを生成します。
ドメインはマルウェアによって異なる命名規則で生成されます。

ファイル共有を使った感染拡大

ネットワークドライブなどのファイル共有内に自分自身をコピーすることで、感染を拡大します。

感染の永続化

Windows起動時に毎回実行されるように、レジストリキーやWindowsサービスに自身を登録します。

仮想環境検知

仮想環境に関係があるレジストリ情報を取得することで、仮想環境上で実行されているかを確認します。仮想環境上では、悪意のある動作は実行されません。

プロセスホロウィングによる実行

セキュリティ製品による検知回避のために、新規に起動した正規プロセスに対してメモリをアンマップし、中身を悪意のあるコードに差し替える方法でUrsnifを実行します。この手法は、セキュリティ製品による検知回避が目的となっています。

この記事をシェア
サイバーセキュリティ
情報局の最新情報を
チェック!