クーポン広告を悪用するマルウェア「Mispadu」

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Mispadu、クーポン広告を悪用して攻撃を拡大」を再編集したものです。

このMispaduがターゲットとして狙いを定めたのは一般ユーザーである。一番の目的は、金銭や認証情報を盗み出すことにある。ブラジルでは、不正なGoogle Chrome拡張機能が配布されていたこともわかっている。この機能を用いて、クレジットカードとオンラインバンキングのデータを盗み出し、決済システム「Boleto」へ侵入を試みるのだ。

特徴

ESETは中南米のバンキングトロージャンを研究中に、ブラジルとメキシコをターゲットにしたMispaduを検出した。プログラム言語デルファイ（Delphi）で書かれたこのマルウェアファミリーは、このブログ記事の当初に説明した同様の方法で被害者に攻撃を仕掛ける。つまり、偽のポップアップウィンドウを表示し、被害者から重要な情報を盗み出すのだ。

Mispaduはバックドア機能を備えているため、スクリーンショットの撮影、マウスやキーボード操作のシミュレート、キーストロークの記録が可能となっている。また、ダウンロードし、実行したVBS（Visual Basic Script）ファイルで自らアップデートすることもできるのだ。

中南米の他のバンキングトロージャンと同様に、Mispaduは被害者に関する以下のような情報も収集する。

・OSのバージョン
・コンピューター名
・言語ID
・Diebold Warsaw GAS Tecnologia（ブラジルの一般的なアプリ。オンラインバンキングへのアクセスを防止する）がインストールされていないか
・インストールされた中南米の一般的なバンキングアプリのリスト
・インストールされたセキュリティ製品のリスト

AmavaldoやCasbaneiroと同じように、Mispaduはそのコードのストリング（文字列）を難読化するために、独自の専用暗号化アルゴリズムを使っている。このアルゴリズムはすべてのコンポーネントで使用されており、構成ファイルやC＆Cサーバーとの通信が保護されている。図1はこのアルゴリズムを実装するためのコアコードを、図2はこのアルゴリズムを実装するための疑似コードを示している。