ASEC 分析チームでは、IE の脆弱性を利用して配布される Magniber ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは最近数年間、IE の脆弱性を利用して配布されており、下記ブログで取り上げたように現在までに IE(Internet Explorer)を通じて脆弱性を利用した形式で拡散している。しかし、最近では Magniber ランサムウェアが Edge、Chrome ブラウザでも拡散している状況が発見された。
https://asec.ahnlab.com/jp/27200/
該当ブログを通じて Edge、Chrome ブラウザで拡散している Magniber ランサムウェアの拡散プロセスを説明する。
以下の[図1]、[図2]はそれぞれ Edge、Chrome ブラウザによって配布元ページにアクセスした画面である。ブラウザの種類に合わせてアップデートを行うために、Windows アプリケーション(appx)ファイルのインストールを誘導する。


Chrome、Edge アップデート用の Windows アプリケーションに偽装した Appx ファイルの特徴は、内部に有効な証明書を含んでいるという点である。したがって、この Windows アプリケーション(.Appx)は信頼できるアプリケーションと判断されてインストールされる。
[図3]はダウンロードされた不正な Appx ファイルを実行した時の結果であり、「C:\Program Files\WindowsApps」のサブディレクトリに不正な EXE と DLL を生成する。

[図4]は生成された EXE ファイル(wjoiyyxzllm.exe)のコードである。同時に生成された DLL(wjoiyyxzllm.dll)をロードして特定の関数(mbenooj)を実行する。

[図5]は実行される DLL コードの一部であり、エンコードされたランサムウェアのペイロードをダウンロードしてデコードしたあと、実行する機能を持っている。

最終的に wjoiyyxzllm.exe のメモリ上で Magniber ランサムウェアが実行され、ユーザーのファイルを暗号化して[図6]のように復旧させるために金銭を要求する内容のランサムノートを生成する。

Magniber ランサムウェアの配布者は appx ファイルを信頼できる証明書で署名し、巧妙に正常なアプリケーションとして偽装している。ユーザーは、疑わしいサイトへはアクセスしないようにし、V3 を含むセキュリティ製品のアップデートを行い、常に最新の状態を維持しなければならない。
[ファイル検知]
exe ローダー : Trojan/Win.Loader.R462129 (2022.01.03.02)
Magniber dll : Ransomware/Win.Magniber.R462664 (2022.01.06.00), Ransomware/Win.Magniber.X2130 (2022.01.06.02)
[ビヘイビア検知]
Ransom/MDP.Decoy.M1171
[メモリ検知]
Ransomware/Win.Magniber.XM135 (2022.01.06.02)
[IOC]
cf16310545bf91d3ded081f9220af7cc (exe)
12a12ea3b7d84d1bd0aad215d024665c (dll)
hxxp://b5305c364336bqd.bytesoh.cam
hxxp://hadhill.quest/376s53290a9n2j
Categories:マルウェアの情報