TrendmicroによるDreamBotの解析。

既存の「URSNIF」に対する「DreamBot」の最大の相違点が「Tor」の利用です。一般的なオンライン銀行詐欺ツールは活動開始後、攻撃者がインターネット上に用意した遠隔操作用サーバ（C&Cサーバ）に接続し、自身の活動を決定するための各種設定を入手し、具体的な活動内容を決定します。「DreamBot」はまず、Torネットワーク上の C&Cサーバとは通信を試みます。このTorネットワークとの通信のために、「DreamBot」は Tor通信用 DLLのダウンロードを行います。一般的な C&Cサーバの監視では HTTPなどの標準的な通信を対象にしているため、Torを利用した C&Cサーバとの通信には気づけない可能性があり、通信の存在や内容を秘匿する目的があるものと考えられます。
ただし一般的な企業や組織のネットワークでは、そもそも Torの通信自体を遮断している場合も多いものと考えられます。「DreamBot」では、そのような環境でも C&Cサーバと通信ができるよう、従来の「URSNIF」同様に HTTPで通信を行うための C&Cサーバも用意されています。

国内ネットバンキングを狙う新たな脅威「DreamBot」を解析 | トレンドマイクロ セキュリティブログ