韓国国内の有名ポータルサイトに偽装した情報流出マルウェア

ASEC 分析チームは、韓国国内ポータルサイトに関するファイルに偽装した情報流出型マルウェアを確認した。最近フィッシングメールで使用された不正な URL から NAVER.zip ファイルが確認されており、圧縮ファイル内部には「네이버지키미.exe」(翻訳:NAVER ジキミ.exe)というファイル名の実行ファイルが含まれている。

不正な URL が確認されたフィッシングメールは以下のようにカカオアカウントに関連した内容を含んでおり、ユーザーが<보호 해제하기>(翻訳:保護を解除する)ボタンをクリックすると hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[メールアドレス] にリダイレクトされ、ユーザーのアカウント情報を窃取する。

図1.フィッシングメール

NAVER.zip ファイルは、フィッシングメールに存在する URL の上位アドレスである hxxp://mail2.daum.confirm-pw.link に接続すると hxxp://downfile.navers.com-pass[.]online/NAVER.zip にリダイレクトし、当該圧縮ファイルがダウンロードされる。

図2.NAVER.zip ファイル

このファイルは、以下のようにファイル名とアイコンを韓国国内のポータルサイトに関するプログラムに偽装している。

図3.ファイルのプロパティ

ファイルを実行すると %AppData%\Local\Microsoft\Outlooka フォルダーを生成したあと AWasctUI.exe、rdpclipe.exe 等の追加の不正なファイルをドロップして実行する。

AWasctUI.exe ファイルはユーザー PC の情報を収集して転送し、rdpclipe.exe ファイルはキーロガーを実行する。また、これらのファイルが自動で実行されるように、スタートアッププログラムのフォルダーにそれぞれのファイルに対して以下のようにリンクファイルを生成する。

  • \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AWastUI.exe.lnk      
  • \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rdpclipe.exe.lnk

rdpclipe.exe ファイルを実行すると \AppData\Local\Microsoft\Outlooka フォルダーに COMMA1UP_RKey.txt を生成し、このファイルにユーザーのキー入力等のログを保存する。

図4.生成された COMMA1UP_RKey.txt ファイル

AWasctUI.exe ファイルを実行すると cmd /c systeminfo コマンドを利用してその結果を Outlooka フォルダーに SysInfo_UP_[day]_[Hour]_[min].pdf の形式で保存する。

図5.生成された SysInfo_UP_[day]_[Hour]_[min].pdf ファイル

以降、PowerShell によって tree コマンドを実行して A から Z ドライブまでを探索し、当該ドライブフォルダーの下の階層に存在するフォルダーとファイルのリストを UP[ドライブ名] ファイルに保存する。

powershell 
$dir = 'C:\Users\vmuser\AppData\Local\MICROS~1\Outlooka\';
$gps = @('A','B','C','D','E','F','G','H','I','H','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z');
foreach ($gp in $gps){$drv = $gp + ':\';
if([System.IO.Directory]::Exists($drv)){
$path = $dir + '\UP' + $gp;
tree /f "$drv" | Out-File -Encoding default -FilePath $path -Width 5000;} }

その後 Outlooka フォルダー内のファイルのうち、ファイル名に「UP」が含まれている COMMA1UP_RKey.txt、UP[ドライブ名] 等、収集した情報を保存したファイルを hxxp://66.94.98[.]48/ESOK/post2.php に転送する。

図6.情報転送パケットの画面

また、nlashine.ini ファイルに以下のような情報を保存するが、これらの値は収集した情報を転送する際に filename に使用される。

[amazon]
idnx=[(PC 名)](user 名)[IP アドレス](ランダムの値)
[scaninfo]
exile=1

nlashine.ini の内容

その後、66.94.98[.]48/ESOK/dwn.php?downfname=[(PC 名)](user 名)[IP アドレス](ランダムの値)に接続して追加データをダウンロードし、AppData\Local\MICROS~1\Outlooka\dwn.dat に保存するため、本文で説明した情報流出以外の不正な振る舞いを実行する可能性がある。

上記の不正なファイル以外にも 네이버지키미.exe は TEMP フォルダーに OTPGenerator.exe をドロップして実行し、以下のような画面が表示されるため、ユーザーがマルウェアが実行されていることに気づきにくい。

図7.OTPGenerator.exe の実行画面

本文で説明したマルウェアは韓国国内のポータルサイトに偽装していることから、国内のユーザーをターゲットに製作されたものと推定される。このように、正常なファイルに偽装した不正なファイルの拡散が続いており、ユーザーは特に注意が必要である。

V3 では、当該マルウェアに対して以下の通りに検知している。

[ファイル検知]

  • Dropper/Win.Agent
  • Infostealer/Win.Agent
  • Trojan/Win.KeyLogger

[IOC 情報]

  • 2b695c8132a1ab1b4014b4fc2f4a2eb4
  • 7b9810dc2faf3e285aafc521d12b11c7
  • 90bb1658ae192ea30c270a0636428995
  • hxxp://mail2.daum.confirm-pw[.]link
  • hxxp://66.94.98[.]48/ESOK/dwn.php
  • hxxp://66.94.98[.]48/ESOK/post2.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments