最近新しく登場したBlueCrabランサムウェアは、従来のGandcrabランサムウェアのように様々な方式で拡散している。拡散手法は、不正な文書を含むフィッシングメール、ユーティリティフィッシングのダウンロードページ等が該当する。AhnLab ASECは、ユーティリティを装ったJavaScriptの拡散コードを監視している。
ユーティリティフィッシングのダウンロードページからダウンロードされたJavaScriptファイル(.js)は、実行するとBlueCrabランサムウェアが実行される。
現時点のJavaScriptの実行フローは[図1]の通りであり、Powershell.exeにBlueCrabランサムウェアがインジェクションされて暗号化が実行される。
ここで注目する点は、V3Liteのユーザーを対象に差別化された実行方式が使用されるという点である。当社製品は、BlueCrabランサムウェアが使用する特定のUAC(ユーザーアカウントコントロール)回避手法を行為ベースで事前ブロックしている。マルウェアの製作者は、このようなブロックを回避するために当社製品のユーザーにはUACの回避手法を用いずに、UAC通知ウィンドウを100回繰り返してユーザーに「はい」をクリックさせて実行するように誘導する。V3Liteがインストールされていない環境では、ユーザーが知らないうちにUAC通知ウィンドウが表示されることなく、回避手法によって直ちに実行する構造を持っている。
[図2]は、特定のUAC回避コードである。赤線部分のコードのように、当社製品ファイルの存在有無を確認し、存在する場合は当該コードは実行されない。
[図3]は、上記方法が実行されなかった場合に実行されるコードの一部であり、for文によってUAC通知ウィンドウを100回繰り返すコードであり、[図4]はUAC通知ウィンドウを発生させるShellExecueExA関数である。
この方式で実行される、UAC通知ウィンドウが発生し、[はい]ボタンをクリックするまでこのUAC通知ウィンドウが100回発生する。
この方式で拡散するBlueCrabランサムウェアの拡散スクリプトは、行為検出によってブロックされる。
ファイルの診断
– JS/Gandcrab.S10 (2019.05.10.00)
行為の診断
– Malware/MDP.Behavior.M1997
– Malware/MDP.Behavior.M2084
– Malware/MDP.Behavior.M2194
Categories:マルウェアの情報