今年に入り、CAPTCHA 画面があるフィッシング PDF ファイルが急激に大量拡散している。PDF ファイルを開くと CAPTCHA 画面が表示されているが、これは実際に有効な CAPTCHA ではない。単純な画像に、不正なアドレスへリダイレクトするリンクが埋め込まれているのである。AhnLab ASD インフラに収集された関連するタイプは今年7月~現在だけでも約150万個である。ほとんどが韓国国外への拡散を中心としていると見られ、これによる韓国国内での被害件数は高くないものと見られる。これまでに確認されたフィッシング PDF ファイルのタイプは画面構成や動作方式等が様々であったが、特定のタイプだけがこのように大量拡散することは注目に値する点である。
画面構成
ほとんどが1~3ページで構成された PDF ファイルである。最初のページには偽の CAPTCHA 画面が表示されており、画像をクリックすると /URI で指定されたアドレスにリンクする。URI アドレスは feedproxy、traff.ru 等、トラフィックリダイレクトサービスで接続されたアドレスである。(トラフィックリダイレクトサービスの全体アドレスリストは、下部の IOC に記載)トラフィックリダイレクトサービスはリソースを直接ホスティングするのではなく、ユーザーに対し送信先にリダイレクトするサービスのみを提供する。すなわち、攻撃者は不正なファイルと最終的な不正アドレスについて直接接続することなくリダイレクトができるため、最終的な不正アドレスは何度でも変更することができる。このようなリダイレクト方式は、最近のマルウェアでよく用いられている方式である。
2ページ目と3ページ目は攻撃者が PDF ドキュメントを自動的に生成する過程で意図的に挿入したものと見られる。ファイルごとに異なる無意味なテキストが含まれており、他のフィッシング PDF ファイルに接続するオンラインリンクがある。PDF ファイルは、一様にwkhtmltopdfコマンドラインツールを利用して製作されたものと推定される。
不正なアドレスへのリダイレクト
攻撃者は、トラフィックリダイレクトサービスを利用して最終的な送信先へ移動する。PDF ファイルをバイナリエディタで開くと、以下のように /URI リソース項目に CAPTCHA 画像と連結された1つ目のアドレスが確認できる。
https[:]//feedproxy[.]google[.]com/~r/Uplcv/~3/S30rS-6n6vg/uplcv?utm_term=simple+launcher+for+elderly アドレスは、以下のようなフローで最終的な送信先である広告性サイトへ移動する。各アドレスの Request に対するレスポンスとして、その次のアドレスを Response で受け取る。このアドレスは接続するたびに変更され、ユーザーの IP、国、接続環境等によりレスポンスのアドレスが変更される。
最終的な送信先のアドレスは、広告性 Pop-up サイトであることが確認された。それ以外にも、ブラウザ通知機能のあるギャンブル、広告、成人向けサイトに接続が可能であった。また、現在 Live 状態の事例は確認されていないが、攻撃者が意図した Trojan EXE 実行ファイルのペイロードをダウンロードするサイトや、不正な Chrome 拡張機能をインストールする事例も確認された。
CAPTCHA 画面があるフィッシング PDF ファイルは攻撃者が大量に製作しているためその拡散件数が非常に多いが、ユーザーによるクリック等の行為がなければ、最終的な不正な振る舞いにつながることはない。そのため、スパムメール等を通じて関連する不正なファイルが確認されても、ユーザーが注意を傾けていれば今後の被害を予防することが可能である。
ファイル検知
Phishing/PDF.Malurl
Phishing/PDF.Malurl.XG4
Phishing/PDF.Malurl.XG5
Phishing/PDF.Malurl.XG6 その他多数
IOC
https[:]//ttraff[.]ru
http[:]//yughzlegelsmelne[.]scdd[.]ru
http[:]//yakutiaprime[.]ru
https[:]//vmkstroi[.]ru
http[:]//yughzlegelsmelne[.]scdd[.]ru
http[:]//yakutiaprime[.]ru
https[:]//irlanc[.]ru
http[:]//yughclewdenergy[.]scdd[.]ru
http[:]//acutecardio[.]ru
https[:]//pixomot[.]ru
https[:]//jumiwimov[.]ru
https[:]//oniceh[.]ru
https[:]//cctraff[.]ru
https[:]//mezovuduw[.]ru
https[:]//infrive[.]ru
https[:]//oniceh[.]ru
https[:]//seumenha[.]ru その他多数
※ 上記のアドレスはトラフィックリダイレクトのアドレスであり、それ自体が不正なアドレスではない
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
104bb6aee51fd308bbf482827c85be83
73c0cb73f9c78c6ddc275dc474907d85
8009997b8ab566e62613570f4d506c78
88acc7e871d22666b8da72ba594524a2
aa19a69f6869db108b996de8fb3b7e39
ad7fbfc9e216fef21ecc2e74b0ab9ba2
b849a021bfe1bee16b8820e90ee82256
bfc460f729b1a07ce743b8cd31926a68
e51659ef7c9535ac6fe3f8388458e308
f7d5d7187fe6055bfc1036d3929b95d8
Categories:マルウェアの情報