ASEC 分析チームは、クリスマスシーズンを利用して Dridex マルウェアのダウンローダーとして動作する Excel ファイルが拡散している状況を確認した。Dridex マルウェアが Excel ファイルのマクロを利用して配布されているといった内容は ASEC ブログを通じて何度も紹介したことがある。(本文下部リンク参照)
Dridex マルウェアはバンキング関連のユーザー情報収集、および攻撃者の命令を受けて不正な振る舞いを実行できるバンキングマルウェアであり、主にスパムメールによって配布され、ローダーを経て実質的なメインモジュールをダウンロードすることで不正な振る舞いを実行する。
今回確認された Dridex マルウェアの配布方式は、以下のような流れと特徴を持っている。
- 不特定多数の一般ユーザーをターゲットにフィッシングメールが送信される
- アンチウイルスソフトの検知を回避する目的でドキュメントを暗号化設定、ドキュメントのパスワードはメール本文に存在
- ドキュメントのマクロを有効化すると「Merry X-MAS!」「Merry Christmas!」のようなメッセージがポップアップウィンドウで表示される
- Excel Cell Formula 方式を利用して VBS スクリプトを生成および実行
- Dridex マルウェアのダウンロードおよび実行
まず、フィッシングメールの本文は「クリスマスに際し、全職員にボーナスが支給されるという内容」から、「契約が終了したという解雇通知内容」まで、比較的変化に富んでいることがわかる。
添付されている Excel ファイルをダウンロードしてから開くと、メール本文の内容と同様に「クリスマスボーナス」に関する内容が存在するが、一般的に Excel マクロのマルウェアに利用するシートの非表示と Cell Formula 方式を利用していることが分かる。
また、この Excel ファイルは「契約解雇」の内容を記述した電子メールの添付ファイルに存在するファイルだが、ファイル名が TerminationList.xls(翻訳:雇用終了リスト.xls)となっているのに反して、その内容には「クリスマスボーナス」の内容が含まれている。このような特徴から推察するに、一貫性なく様々な内容で不特定多数に配布しているものと推定される。
Excel ファイルの「名前の管理」ツールによって、Auto_Open マクロは非表示になっている「Macro1」シートと「Sheet1」シートの値に基づいてマクロコードが動作することを推測できる。該当する「Macro1」シートの V 列を確認したところ、以下の図4)のように Cell Formula を利用して作成されたマクロコードが存在する。また、「Sheet1」には10進数データが保存されているが、このデータは文字形式に変形して組み合わせられる。以下は「Sheet1」シートの BH 列163~4975行までの悪用されるデータの組み合わせに用いることを示す数式である。
=FOR.CELL("" & "" & "" & "" & CHAR(111) & "" & "" & "wj" & "" & "" & "" & CHAR(72) & "" & "" & "" & "KXZ" & "mV",Sheet1!BH163:BH4975, TRUE)
=ALERT("" & "" & "Mer" & "ry" & "" & "" & "" & "" & "" & "" & "" & " C" & "" & "hri" & "st" & "" & CHAR(109) & "" & "" & "as" & "" & CHAR(33))
特定のセルに存在する ALERT 数式により「Merry Christmas!」メッセージのポップアップウィンドウが発生し、続いて C:\ProgramData\ サブパスに VBS ファイルが生成される。図7は一部数式の値を示している。wscript.exe というキーワードが確認できるが、これは VBS ファイルを実行するときに使用されることがわかる。図8、9に示した VBS コードの内部には Windows の正常なユーティリティ WMIC を利用してローカルにある不正なファイルを実行するものと、Dridex をダウンロードできる URL が比較的平易な難読化によって作成されている。
このファイルから確保された URL は接続が無効になっているため現在はマルウェアをダウンロードできないが、接続が有効な状態の類似した形式の URL から確保した dll ファイルは Dridex マルウェアであると確認された。
無分別にフィッシングメールが拡散している状況が確認されたため、ユーザーは信頼できる送信者からメールを受信したとしても、メール内の添付ファイルを実行しないようにしなければならない。また、使用しているアンチウイルスソフトを常に最新バージョンにアップデートして使用できるような注意が必要とされる。
AhnLab V3 では、本文で紹介したマルウェアに対して以下のように検知している。
[ファイル検知]
- Downloader/XLS.Generic
- Trojan/Win.Dridex
[IOC 情報]
- 7acf260802f3a3706e9fa7b7cfd04442 (XLS)
- 6c4f9a92b1d3371a08dba5ab6e411dbc (XLS)
- 0787dd3e8b45aca3966cc9c05bd4cd48 (XLS)
- f6c1c00a86bc0fb6624b3c30c40d0e27 (Dridex)
- hxxps://cdn.discordapp[.]com/attachments/922230029876871191/922476091036282900/hADmBTOIOvchristmasnigga.bin
- hxxps://cdn.discordapp[.]com/attachments/922230029876871191/922475884680720415/jsYdUxKchristmasnigga.bin
- hxxps://cdn.discordapp[.]com/attachments/922230029876871191/922474883370348564/PkoNSuchristmasnigga.bin
[Excel で配布された過去の Dridex マルウェアに関するブログ]
https://asec.ahnlab.com/jp/25408/
https://asec.ahnlab.com/jp/21849/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報