ASEC 分析チームは、ユーティリティプログラムに偽装して情報奪取型マルウェアを配布するフィッシングサイトをブログで紹介している。このマルウェアはユーザーが Google 検索キーワードでユーティリティプログラム名を検索すると、比較的上部に表示される。現在まで活発に配布が続いており、その感染プロセスは変化し続けている。韓国国外では CryptBot として知られているこの情報奪取型マルウェアの最新配布ファイルの感染方式について説明する。
以下の図はユーティリティプログラムに偽装してマルウェアを配布するフィッシングサイトの様子である。英文サイト以外にも、韓国語に翻訳されたサイトも存在する。
マルウェアは zip 形式でダウンロードされる。圧縮ファイルには情報流出のマルウェアが含まれた別の zip 圧縮ファイルと、解凍パスワードが記載された txt ファイルが保存されている。パスワードを入力して圧縮を解凍すると 7zip で圧縮されていた実行ファイル、Mainsetupv1.0.exe が表示されるが、これが実際のマルウェアである。
Mainsetupv1.0.exe を実行すると「7ZipSfx.000」パスに[図3]のような4つのファイルを生成し、偽装したファイル名(Naso.avi)で生成される不正な BAT ファイルを実行する。生成される4つのファイルのおおよその機能は、以下の通りである。
- Naso.avi:不正な BAT ファイル、不正な AutoIt スクリプトを実行する機能
- Pensato.avi:操作された拡張子(.avi)の正常な Autoit.exe ファイル
- C:不正な AutoIt スクリプトでエンコードされた CryptBot 情報奪取型マルウェア(Sento.avi)を実行する機能
- Sento.avi:エンコードされた CryptBot 情報奪取型マルウェア
[図4]は、最初の実行プロセスに該当する BAT ファイルの内容である。BAT ファイルは操作された拡張子(.avi)の正常な Autoit.exe を実行可能な拡張子(.com)に変更し、不正な Autoit スクリプト(C)を実行する機能を行う。
[図5]は不正な Autoit スクリプト(C)の内容であり、図のように解析が不可能なように難読化されている。
[図6]は難読化が解除された Autoit スクリプトの一部で、これは解析環境を回避する機能を持っている。Sleep の実行が正常に行われるかどうか、GettickCount を通して前後のデータを確認して検証し、期待値ではない場合、マルウェアは終了する。
[図7]は難読化が解除された Autoit スクリプトの主な機能である。explorer.exe を LoadLibraryExW API を通してロードし、メモリ領域を割り当てて最初に生成された Sento.avi ファイルのデータを加工して生成した CryptBot 情報奪取型マルウェアのペイロードを該当メモリ領域に注入する。
[図8]は上記プロセスを通して最終的に実行される CryptBot 情報奪取型マルウェアのコードの一部であり、これは追加のマルウェアをダウンロードする機能である。履歴から確認したところでは、このダウンロード機能を利用して以下の Clipbanker マルウェアがダウンロードされたことが確認されている。
現在当社 V3 製品では、このマルウェアを以下の通り検知している。
[ファイル検知]
– Trojan/Win.Infostealer (2021.05.15.00)
[ビヘイビア検知]
– Execution/MDP.Scripting.M3728
[IOC]
- MD5: abd35d575a95891bac53ec57e8d33ccd
- フィッシングサイト
ko.augalai[.]info
rarpc[.]co
- C&C
– http[:]//morjgs02.top/index[.]php - Download PE
– http[:]//sulsxq03.top/download[.]php?file=lv.exe
Categories:マルウェアの情報