AhnLab ASEC 分析チームは、見積書依頼の内容に偽装した Lokibot マルウェアが拡散している状況を確認した。Lokibot マルウェアは数年前から継続的に拡散していて、ASEC ブログが提供している週刊マルウェアの統計を確認すると、常に上位に位置していることがわかる。
今回確認された Lokibot マルウェアはフィッシングメール内の添付ファイルを通して配布されており、CAB/LZH を利用した圧縮ファイルを利用している点が特徴である。
メール本文の内容は非常にシンプルだが、関連する業務に携わっている場合、送信者をはじめとする会社名が韓国国内に実際に存在するため、疑うことなく添付ファイルを開く可能性がある。
添付ファイルをダウンロードして開いた場合に確認される行為の発現は、既知のインフォスティーラー型のマルウェアと大きく変わらない。基本的にファイルを自己複製し、そのファイルをスケジューラ(schtasks.exe)に登録して、Web ブラウザと FTP アカウント情報、および設定ファイルを奪取して C2 に送信する、典型的な情報奪取行為を示している。
弊社の RAPIT システムでこのマルウェアを実行すると、上記のように FTP プログラムの設定情報と Web ブラウザのアカウント情報を奪取しようとする行為を確認することができる。
このような社会工学的手法を利用してマルウェアが継続的に拡散しているため、ユーザーは添付ファイルが含まれたメールを閲覧する際は、注意を払わなければならない。従事している業務に関連するような内容であっても、実行ファイル形式の添付ファイルは開かないように注意し、使用しているアンチウイルスプログラムのバージョンを常に最新に保つ努力が必要である。
V3 検知オプションで圧縮ファイルを診断するように設定すると、上記のように CAB/LZH 形式で圧縮されたマルウェアも検知が可能である。
本記事で紹介したマルウェアは、現在 V3 で以下の通り検知している。
[ファイル検知]
- Infostealer/Win.Generic.R415653
- Malware/Win.Generic.C4415523
[関連 IoC 情報]
- C2 : hxxp://104.168.140[.]79/ghost/fre.php
- Hash : bebf9fe03f112b3d56973f0dd4701848
Categories:マルウェアの情報