見積書に偽装した情報流出型マルウェアが拡散中(Google Drive利用)

AhnLab ASEC 分析チームは2020年3月4日、見積書に偽装した情報奪取型(キーボード入力値の流出)マルウェアが拡散していることを確認した。2次マルウェアのダウンロードアドレスが、一般人がよく使用する Google Drive(https://drive.google.com) を利用している点も、正常な行為に偽装するためのものと推定される。このマルウェアは、当社が以前公開した AutoCAD 図面ファイル(dwg)に偽装した以下のマルウェアと同じタイプであると確認された。


以下の [図1] のように、メール内部に正常な見積書の画像(img)ファイルが添付されており、その画像ファイル内部には不正な実行ファイルが存在する。

[図1] RFQ-378129045-1093-Order.img内部に存在する EXE ファイル

不正なファイルが実行されると、以下のように自身をコピーして、コピーしたファイルを実行する機能の VBS ファイルを生成する。また、生成された VBS ファイルを RUN キーに登録し、Windows の起動時に自動で実行されるようにする。

コピーされたファイルC:\users\vmuser\Templum\Ornarypo.exe
生成されたVBSファイルC:\Users\vmuser\Templum\Ornarypo.vbs ファイル内容:コピーされたファイルの実行 Set W = CreateObject(“WScript.Shell”)
Set C = W.Exec (“C:\Users\vmuser\Templum\Ornarypo.exe”)
VBSファイルをRUNキーに登録HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Chika “C:\Users\vmuser\Templum\Ornarypo.vbs”

実行された当該マルウェアは、エンコードされた不正なデータをダウンロードしてメモリ上で復号したあと、追加動作を行う。

ダウンロードURLhttps://drive.google.com/uc?export=download&id=1fmp0vjx2nzPCdXbnfiwV4rohKjYv6BLE 

復号されたデータは Formbook として知られている、情報流出型マルウェアである。実行中のプロセスにインジェクションして動作し、ユーザー情報を奪取する。奪取される情報には、「キーボード入力情報(keylogging)」、「クリップボード」等がある。

AhnLab V3 製品では、上記タイプのマルウェアを次の通り検知している。

  • Malware/Win32.Generic.C4004690 (2020.03.04.03)
0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments