AhnLab ASEC 分析チームは、ビットコイン(Bitcoin)無料配布を装った不正なメールが、ウクライナ国防省の特定人物をターゲットに配布されたことを確認した。最近世間で話題になっている仮想通貨のテーマを悪用していることと、最終的なマルウェアのダウンロードに至るまで、様々な方法を混合しているのが特徴である。

メール内に添付されている PDF ファイルをダウンロードすると、以下のようにビットコインを無料で受け取ることができるといった内容と、短縮 URL がリンクされている。PDF ファイルに存在する URL リンクは3つで、3つのうちどれをクリックしても同じアドレスにアクセスする。

現在は短縮 URL と最終アクセス URL の両方とも存在しないページであることが確認されているが、解析当時は圧縮ファイル(bitcoin.zip)をダウンロードすることが可能であった。圧縮ファイルを確認すると以下のようにショートカット(.lnk)ファイルと password.txt のテキストファイルが存在するが、このテキストファイルにはまるで正常なウォレットのアドレスとパスワードを提供するかのように記載されていたが、その実際の目的は「folder」形式の lnk ファイルのクリックを誘導することである。(‘Wallet in folder.’)

LNK ファイルの内部を確認すると、以下のように PowerShell を利用して実行ファイルをダウンロードする不正な URL と、保存先フォルダ/ファイル名を確認することができる。

したがって、攻撃者の意図通りに lnk ファイルを実行すると、マルウェアが当該 URL からダウンロードされ、%Temp% パスに WindowsUpdate.exe というファイル名で保存される。

ダウンロードされたファイルを実行すると、CMD dir コマンドを利用して様々なフォルダ/ファイルの情報を確認し、その後に外部 URL とネットワーク接続を試みている。そのことから、これらは取得した情報を流出させるものと推定される。現在は接続を試みてもサーバーから RST パケットが送信され、パケットの正確な内容はわからない。

最近は、話題となっている問題を悪用しようとする試みが、継続的に確認されている。ユーザーは、添付ファイルが含まれるメールを閲覧する際には注意を払わなければならない。本文で紹介したような実行ファイル形式の添付ファイルではなくても、巧妙な手段でユーザーを騙そうとする行為である可能性があるため、たとえ興味のある内容であっても添付ファイルのダウンロード、また実行は避けなければならない。
また、使用しているアンチウイルスソフトのバージョンを常に最新に保とうとする関心と努力が必要である。
本文で紹介したマルウェアは、現在 V3 で次の通り検知している。
[ファイル検知]
- LNK/Runner.S1
- Trojan/Win.Wacatac.R415645
[関連 IoC 情報]
- hxxp://1924[.]site/doc/bitcoin.zip
- hxxp://1924[.]site/soft/09042021.exe
- hxxp://31.42.185[.]63:8080/upld/30BC8771
- c717265dc91b1980921320c8d6257b53
- 5ab92ca35e41b9a7aa07cc7efc60bbd1
- d377c71f7df1c515705eb6b0cc745f7d
Categories:マルウェアの情報