AhnLab ASEC 分析チームは、フィッシングダウンロードページによって拡散している JavaScript 形式の BlueCrab(=Sodinokibi) ランサムウェアの観察を続けている。このフィッシングダウンロードページは、ユーティリティダウンロードページに偽装しており、[図1] のように Google 検索の上部に表示されるケースも発見されている。これらの感染方式は、過去の GandCrab ランサムウェアから使用されている方法であり、すでに広く知られている内容である。
しかし、このような拡散方式(JavaScript形式:*.js)からの変化はないものの、JavaScript コード上では新たな変化が確認されており、変化の速度が速いため、ユーザーの注意が要求される。
*.jsファイルを実行するとプロセスの実行フローを示しており、ランサムウェアの行為は正常な Windows システムのプロセスを利用している。このような変化は、アンチウイルス製品の検出を回避するためのものと推定されており、内部スクリプトコードからは国内の特定アンチウイルスプログラムに対する検出回避手法も確認された。
(過去) wscript.exe -> powershell.exe -> explorer.exe (ランサムウェア行為)
(現在) wscript.exe -> powershell.exe -> notepad.exe (ランサムウェア行為) – 11月1日以降
フィッシングダウンロードリンクをクリックすると不正な JavaScript が含まれた圧縮ファイル(.zip)がダウンロードされる。この圧縮ファイル内部には、ユーティリティを偽装した名前の不正な JavaScript が含まれている。
[図1] は圧縮ファイル内部の JavaScript であり、難読化された形式になっている。[図2] は難読化を解除した形式であり、追加 JavaScript をダウンロードする機能を実行する。
[図3] は [図2] のスクリプトからダウンロードされる追加 JavaScript であり、エンコードされた PowerShell スクリプトを %UserProfile% パスに「[ランダム].txt」ファイル名で生成したあとに実行する役割を実行する。以下の過去に分析された内容と比較した場合、PowerShell の拡張子を変更し続けていることがわかる。
ダウンロードされた JavaScript によって実行された PowerShell は、権限の昇格のために [図4] のコードが存在するが、当社の行為検出によって [図5] のように当社製品のインストールの有無を確認し、存在する場合は権限の昇格が実行できず、[図6] のように UAC 通知ウィンドウを100回繰り返して発生させる。すなわち、V3 製品を使用しているユーザーには権限の昇格手法を使用せず、ユーザーに実行の権限を付与してランサムウェアが実行されるように通知ウィンドウを繰り返すという構造である。
この UAC 通知ウィンドウの [はい] ボタンをクリックして権限が昇格する場合、[図7] のように notepad.exe を実行してBlueCrabランサムウェアをインジェクションして作動させる。 [図8] のコードのように OS 別 notepad.exe を選択して作動し、[図9] は notepad.exe に BlueCrab ランサムウェアをインジェクションするコードである。BlueCrab ランサムウェアが notepad.exe にインジェクションされると、notepad.exe がランサムウェアの行為を実行するようになる。
現在、V3では以下のように様々な感染プロセスの行為に基づく検出、および Generic 診断を通して、このマルウェアに対するブロックを行っている。
[ファイルの診断]
– JS/BlueCrab.S12 (2019.11.05.00)
[行為の診断]
– Malware/MDP.Behavior.M1947
Categories:マルウェアの情報