✍️ 👨‍🎨 🎟️ Webインジェクションの進化、パート2 🧔🏼 👨🏻‍🎤 👩‍👧‍👦

Webインジェクション構成ファイルは、秘密のハッカーフォーラムでさまざまな個人によって販売されています。これらの個人の多くは、サイバー犯罪グループのメンバーであるか、それらと密接な関係があります。ほとんどのWebインジェクションエンコーダーは、同じ固定構成ファイル形式に依存しています（図2 ）。同時に、銀行のトロイの木馬の作成者の中には、製品にさまざまなWebインジェクションファイル形式の特別なコンバーターを提供しているものもあります。たとえば、Gataka銀行のトロイの木馬には、標準タイプの構成ファイル（SpyEye）を内部形式に変換するための同様のコンバーターが含まれています。

高品質のWebインジェクションの需要が高まるにつれて、著者による供給も増加しています。 Webインジェクションの作成者自身は、Webインジェクションの開発とテストを容易にするツールを必要としています。このようなツールの例としては、有名な「ビルダー」または構成ビルダーがあります。これは、漏洩したCarberpソースコードの一部でした。入力でWebインジェクションの初期パラメーターを設定し、出力で構成ファイルを取得できました。

図 10.アンダーグラウンドハッカーフォーラムで安価なWebインジェクションの販売を宣伝する。

一般に、販売されているWebインジェクションは、2つの大きなタイプに分けることができます。最初のタイプのWebインジェクションには、お金を自動的に盗み、アカウントで利用可能な残高を調整する機能があります。 2番目のタイプのWebインジェクションはより単純であり、機密情報を収集するフィッシング詐欺フォームに基づいてWebページを侵害するためのスキームのみを提供します。一部のWebインジェクション開発者は、いわゆるクライアントに必要なサービスのセットが提供される「カスタマイズ」。同じキャンペーンでさまざまなタイプのWebインジェクションを使用して、バンキング型トロイの木馬プログラムを拡散するケースを見てきました。このキャンペーンでは、攻撃者は世界中のいくつかの国でコンピューターを侵害することができました。

図 11. Webインジェクションバンキングのトロイの木馬Perkeleの販売者が製品を提供しています。

秘密のフォーラムでさまざまなWebインジェクションのオファーを確認しました。それらのいくつかはより高価で、いくつかはより安価です。図図10は、安価なWebインジェクションを販売するオファーを示しています。このWebインジェクションの低コストにもかかわらず、幅広い金融機関をカバーしています。

著者は、スクリーンショットで、世界のさまざまな国の銀行を危険にさらすことに特化したWebインジェクションを販売していることを示しました。彼が提供するWebインジェクションは、それぞれ100ドルで購入できます。それらは同じ機能を持ち、フィッシングWebフォームを使用して個人情報および機密ユーザー情報を盗むように設計されています。

また、2要素認証をバイパスするATSメカニズムを含むWebインジェクション、およびモバイルデバイスのユーザーを危険にさらすためのモバイルコンポーネントを販売するための幅広いオファーを発見しました。図図11は、WebインジェクションにバンドルされているPerkeleモバイルボットの提供を示しています。 Perkeleでは、既に説明したmTANセキュリティメカニズムをバイパスできます。ほとんどの高度なWebインジェクションには、マルウェアに感染したコンピューターの状態を追跡するために使用できるコントロールパネルが付属しています。

一部のWebインジェクション開発者は、特別なアフィリエイトプログラムを提供しています。アフィリエイトプログラムに基づいて、いわゆる顧客が購入したプライベートWebインジェクションは、特別なアフィリエイトプログラムに入ります。 Webインジェクションの購入者はそれを再販でき、さらに、販売者はこのWebインジェクションを他のサイバー犯罪者に提供しないことが理解されています。もちろん、プライベートWebインジェクションは、パブリックWebインジェクションよりも高価です。同時に、Webインジェクションの使用に関するメンテナンスと支援のコスト（技術サポート）が増加します。

また、トロイの木馬プログラムの配布に関与するサイバー犯罪者とのパートナーシップに関心のあるWebインジェクションの著者もいます。彼らは、銀行のトロイの木馬が所有者にもたらす利益の一定の割合を要求します。アンダーグラウンドフォーラムで見た広告の1つは、英国とスウェーデンのボットネットの所有者をコラボレーションに招待しました。この場合、彼らの条件は、サイバー犯罪者のビジネスからの利益の一部をWebインジェクションの作者に振り替えなければならないことでした。

Webインジェクションダッシュボード

すでに書いたように、時間の経過とともに、Webインジェクションの複雑さは増大しました。 Webインジェクションを使用するボットのより便利な管理と制御のために、攻撃者は特別なコントロールパネルを使用し始めました。コントロールパネルは、Webインジェクションを備えて販売されており、ボットネット管理者にボットを管理するための単一のインターフェイスを提供します。さらに、コントロールパネルにより、サイバー犯罪者はボットに不正な操作を指示できます。

コントロールパネルは、各ボットのステータスと、侵害されたユーザーの銀行口座の現在の状態に関する情報を記録します。ボットネットオペレーターは、ユーザーの口座から不正な銀行口座の1つへの資金の自動取引を実行できます。ラバアカウント。このような操作を実行するには、悪意のあるJavaScript Webインジェクションにコントロールパネルとの通信チャネルが必要です。バンキングマルウェアを使用して詐欺のケースを分析する場合、アンチウイルス企業の研究者は、ボットの動作に関する統計を取得するためにコントロールパネルと対話する必要があります。場合によっては、コントロールパネルにアクセスして、ユーザーがダウンロードしたラバアカウントとモバイルコンポーネントに関する情報を取得することができます。

コントロールパネルは各ボットのステータスを監視し、そのコンポーネントをリモートで操作する際にいくつかのルールを規制します。たとえば、侵害されたユーザーがまだ使用していない場合（ボットが特定の状態になっていない場合）、訪問者はボットのモバイルコンポーネントをダウンロードできません。コントロールパネルには、モバイルボットの配信前にもう1つのチェックが含まれる場合があります。モバイルボットの場合、モバイルデバイスのブラウザのユーザーエージェントは、直接ダウンロードする前にチェックされます。

単純なWebインジェクションキットとコントロールパネル付きのWebインジェクションの両方の販売を専門とするサイバー犯罪グループの一例は、いわゆるものです。「ゆんば。」 Yummbaは、2FA認証をバイパスできる洗練されたWebインジェクションキットの販売も専門としています。図図12と図13は、このコントロールパネルのインターフェースを示しています。

図 12.ボットネットコントロールパネルに入るためのインターフェース。

図 13.ボットネットコントロールパネルのインターフェース。

このグループは、パブリックおよびプライベートの両方のWebインジェクションキットを提供しています。パブリックWebインジェクションキットには、ヨーロッパ、北米、オーストラリアのさまざまな銀行や金融機関を侵害する広範な機会が含まれています。キットには、ブラウザに悪意のあるコンテンツを挿入して、さまざまな銀行からユーザーの個人情報を盗むことができる特別なモジュールが含まれています。これはFull Information Grabber（FIGrabber）と呼ばれます。図図14は、Yummba Group Web Injection Kitの対象となる銀行のリストを示しています。

前述のように、YummbaはWebインジェクションとともに特別なモバイルコンポーネントを提供します。二要素認証をバイパスし、mTANコードを傍受するために使用されます。モバイルコンポーネントはiBankingマルウェアであり、Perkeleよりも高度な機能をサイバー犯罪者に提供します。このグループは、Qadars、ZeusVM、Neverquestなど、他のさまざまな銀行のトロイの木馬の販売も専門としていました。

図 14.金融機関のWebサイトのリスト。FIGrabberモジュールは侵害を目的としています。

Webインジェクションのもう1つの一般的なセットは、Injeriaです。また、ボットコントロールパネルが含まれており、C＆Cサーバーから外部スクリプトを読み込むときに同じパラメーターセットを使用するため、簡単に認識できます。構成ファイルでは、URLのリストは暗号化されています。以下の表3は、構成ファイルで使用されるタグについて説明しています。

表3. Injeria構成ファイルのタグ。

表からわかるように、Injeriaはモバイルコンポーネントに加えて、他の方法を使用して銀行のセキュリティメカニズムをバイパスできます。他の高度なWebインジェクションの場合のように、スクリプトがリモートサーバーから取得されるという事実は、作成者またはボットネットオペレーターがWebインジェクション構成を迅速に更新して、変化する環境に適応できることを示しています。このWebインジェクションのセットは、Qadars、Tilon、Torpig、Citadelなど、多くの銀行のトロイの木馬によって使用されます。

上記以外のWebインジェクションの提案もあります。これらのキットの1つは、ユーザーによって偽名rgklinkの下でアンダーグラウンドフォーラムで提供されました。このフォーラムユーザーは、世界の多くの国で金融機関を侵害するために使用されるさまざまなWebインジェクションの販売も専門としています。 ATSタイプのWebインジェクションと一緒に、Scarlettと呼ばれるコントロールパネルが提供されました（図15）。

図 15.スカーレットコントロールパネル。

図 16. Injeria Webインジェクションの例。

以下の表は、2013年現在のrgklink Webインジェクションの価格を示しています。ご覧のとおり、Webインジェクションのコストは、実装できる機能によって異なります。

表4.さまざまなWebインジェクション機能のコスト。

ほとんどの場合、Webインジェクションは、ボットによってリモートのC＆Cサーバーからダウンロードされます。しかし、攻撃者はボットへのWebインジェクションチェーンでもう1つのレベルを使用し始めました。ポイントは、C＆Cサーバーから、ボットはWebインジェクション自体をダウンロードするのではなく、それへのリンクをダウンロードするということです。図 15は、このタイプのWebインジェクションを示しています。

前述したように、外部サーバーからWebインジェクションをダウンロードすることは、攻撃者にとって明らかな利点があります。主な利点は、リモートサーバー上の構成ファイルを一度更新するだけで、すべてのボットがそれを確実に受信できることです。もう1つの暗黙的な利点は、リモートファイルストレージがウイルス対策アナリストのフォレンジック分析の実施を複雑にすることです。攻撃者は、しばらくの間リモートサーバーを切断するだけで、そこから構成ファイルを抽出することができなくなります。

図 17. Webインジェクションのクライアント部分とサーバー部分の相互作用の例。

リモートC＆Cサーバーとのやり取りにはるかに依存するWebインジェクションパッケージがあります。この場合、リモートサーバーはWebページに埋め込むコンテンツを決定します。これらのパッケージの1つでは、Webインジェクションはサーバーと常に接触しており、サーバーは常に悪意のあるJavaScriptコードの新しいフラグメントを送信します。一意の難読化された関数名とCookieを使用して、Webページ間のサービスデータを保存および同期します。図図１７は、そのようなウェブインジェクションと管理サーバーとの間の相互作用を示す。「func =」パラメータURLの1つに関数の名前が含まれていることがわかります。関数の名前はサーバーに送り返され、その後、そのコンテンツが元のWebページに追加されて自動的に実行されます。図図18は、サーバーからの新しいJavaScriptフラグメントの要求と、その後のWebページの本文への挿入を担当する関数を示しています。

図 18.リモートサーバーから送信された命令を実行するWebインジェクション機能。

私たちが観察しているケースでは、C＆CサーバーからダウンロードされたJavaScriptコードのフラグメントがさまざまな変数のインストールを実行し、侵害されたシステムの現在の「状態」を変更できます。このような状態には、待機中（待機）、ブロック中（ブロック）、日焼け、azがあります。後者のazは、avtozalivovと呼ばれるロシアのWebインジェクションシステム（ATS）の名前の略語です。興味深いことに、送金用のアカウント情報（DropId）も上記の方法を使用して攻撃者に送信されます。図図１９は、この情報の例を示している。

図 19.リモートサーバーによってWebインジェクションに送信されたDropID情報。

もちろん、上記の方法はWebインジェクションの特定のセットに固有のものではありません。金額が転送される攻撃者のアカウント（ミュールアカウント）に関する情報がWebインジェクションに直接転送される場合、これはかなりまれなケースです。通常、この操作は、リモートC＆CサーバーとのWebインジェクションの対話の最後に発生します。これは、攻撃者が銀行の詳細の複製に最後に関心を持つため、純粋に実用的な考慮事項によるものです。明らかに、そのような情報はすぐに法執行機関の手に渡ることがあります。

Webインジェクションの進化、パート2

More articles: