AhnLab ASEC 分析チームでは過去にアドウェア(Adware)および PUP プログラムによって配布される BeamWinHTTP マルウェアを取り上げた。ユーザーがクラック(Crack)や Keygen のようなプログラムをインストールするためにフィッシングページからインストールファイルをダウンロードしてインストールする際に、追加で各種 PUP および BeamWinHTTP マルウェアがインストールされ、さらに BeamWinHTTP は情報流出型マルウェア、すなわちインフォスティーラーをインストールする。
Google のような検索エンジンでプログラム名および「クラック」や「Keygen」のようなキーワードを検索すると、次のように偽の短縮 URL リンクが埋め込まれた Web ページが確認される場合がある。短縮 URL は、以下の例では「hxxps://imgfil[.]com」であり、このほかにも「hxxps://blltly[.]com」も確認されている。「imgfil[.]com」は「https://imgflip.com」を詐称するものと推定され、「blltly[.]com」は「https://bitly.com」を詐称する形である。
下にスクロールしていくと、キーワードと一致しない様々なハングルで書かれた文章が見られる。これは、検索エンジンの検索結果ページ上段に上がってくるようにするためにゲームのクラックや使用プログラムの Keygen のような様々なキーワードを挿入したものと推定される。
このように、海外サイト以外にも韓国国内のブログサイトも攻撃者のフィッシング攻撃に使用される事例が存在している。
以降、ユーザーが当該リンクまたはボタンをクリックすると、リダイレクトを経由して以下のようなダウンロードページが表示される。最終的にここで「DOWNLOAD」ボタンをクリックすると、圧縮ファイルがダウンロードされることが確認できる。
ここまでのフローを整理すると、以下のようになる。
Google 検索
– ダウンロードボタンクリックを誘導するフィッシングページ
リンクまたはダウンロードボタンをクリック
– hxxps://imgfil[.]com または hxxps://blltly[.]com
– hxxp://capabresume[.]com
– hxxps://ljett[.]com
– hxxps://eemgl[.]com
– hxxps://ezwcom[.]com
ダウンロードボタンをクリック
– hxxp://yabimer[.]com
圧縮を解凍すると以下のように2つの実行ファイルが表示されるが、そのうちの1つは隠し属性が付与されており、一般ユーザーに対しては「call-of-duty-localiz_240662092.exe」ファイルのみが表示されており、これをダブルクリックしてインストールを開始する。参考に、隠し属性のファイルは WSCC という正常なプログラムであり、「call-of-duty-localiz_240662092.exe」がアドウェアをインストールするマルウェアである。
これを実行すると、Program Files (x64 環境の場合、「Program Files (x86)」フォルダー)フォルダーにランダムなパスを生成して実行する。このプログラムは「C:\Program Files (x86)\Qui\maiores\Voluptatem.exe」がアドウェア形態のマルウェアだが、ログを確認すると「C:\Program Files (x86)\neque\sunt\tempora.exe」、「C:\Program Files (x86)\zsclone\bin\aweclone」等と、フォルダーおよびファイル名を特定していない。
以降のプロセスは、すでに紹介した BeamWinHTTP の解析記事を参考にしてほしい。さらに、最近 BeamWinHTTP によってダウンロードされるマルウェアを調べると、いまだに Vidar、Raccoon、Ficker Stealer のような情報流出型マルウェアがその大半を占めている。
このように Google 検索を利用してクラック、Keygen 等のプログラムのダウンロードを試みると、実際にはインフォスティーラー型マルウェアがインストールされることがある。また、海外だけでなく韓国国内のユーザーもターゲットとする、すなわちハングルでの検索結果によってもダウンロードが可能であるため、注意が必要である。
[ファイル検知]
Adware/Win.DownloadAssistant.C4439209 (2021.04.26.01)
Adware/Win.DownloadAssistant.R417523 (2021.04.25.00)
CoinMiner/Win.Glupteba.R417680 (2021.04.26.00)
Trojan/Win.MalPE.R414432 (2021.04.04.00)
Trojan/Win.Generic.R372807 (2021.03.24.00)
[ビヘイビア検知]
Malware/MDP.SystemManipulation.M2040
[メモリ検知]
Downloader/Win.BeamWinHTTP.XM87
[IOC]
ファイル
– dbbd0bf5c8767748801c9cb77be2aac1 (call-of-duty-localiz_240662092.exe)
– bcaa6072ae76b18c241b3102669d6ef9 (Voluptatem.exex)
– 5d3901176afa9675bb26ee263893dbd4 (beamwinhttp)
– 666dc98ef163a2bacdb9585816268705 (Ficker Stealer)
– a5577c6075410ba537ed3c54befcf8d3 (Raccoon Stealer)
– 664459b5bb0347021da4c830fd7ea0cd (Vidar Stealer)
ダウンロードアドレス
– hxxps://imgfil[.]com
– hxxps://blltly[.]com
– hxxp://capabresume[.]com
– hxxps://ljett[.]com
– hxxps://eemgl[.]com
– hxxps://ezwcom[.]com
– hxxp://yabimer[.]com
Categories:マルウェアの情報