AhnLab ASEC 分析チームは2020年3月4日、見積書に偽装した情報奪取型(キーボード入力値の流出)マルウェアが拡散していることを確認した。2次マルウェアのダウンロードアドレスが、一般人がよく使用する Google Drive(https://drive.google.com) を利用している点も、正常な行為に偽装するためのものと推定される。このマルウェアは、当社が以前公開した AutoCAD 図面ファイル(dwg)に偽装した以下のマルウェアと同じタイプであると確認された。
以下の [図1] のように、メール内部に正常な見積書の画像(img)ファイルが添付されており、その画像ファイル内部には不正な実行ファイルが存在する。
不正なファイルが実行されると、以下のように自身をコピーして、コピーしたファイルを実行する機能の VBS ファイルを生成する。また、生成された VBS ファイルを RUN キーに登録し、Windows の起動時に自動で実行されるようにする。
| コピーされたファイル | C:\users\vmuser\Templum\Ornarypo.exe |
| 生成されたVBSファイル | C:\Users\vmuser\Templum\Ornarypo.vbs ファイル内容:コピーされたファイルの実行 Set W = CreateObject(“WScript.Shell”) Set C = W.Exec (“C:\Users\vmuser\Templum\Ornarypo.exe”) |
| VBSファイルをRUNキーに登録 | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Chika “C:\Users\vmuser\Templum\Ornarypo.vbs” |
実行された当該マルウェアは、エンコードされた不正なデータをダウンロードしてメモリ上で復号したあと、追加動作を行う。
復号されたデータは Formbook として知られている、情報流出型マルウェアである。実行中のプロセスにインジェクションして動作し、ユーザー情報を奪取する。奪取される情報には、「キーボード入力情報(keylogging)」、「クリップボード」等がある。
AhnLab V3 製品では、上記タイプのマルウェアを次の通り検知している。
- Malware/Win32.Generic.C4004690 (2020.03.04.03)
Categories:マルウェアの情報