AhnLab ASEC 分析チームは、ブラウザのオンライン広告リンクを通じてマルウェアを配布するマルバタイジング(Malvertising)のモニタリングを継続的に行っている。最近、このマルバタイジング(Malvertising)によって配布される代表的なマルウェアの一つであるマグニバー(Magniber)ランサムウェアが配布を停止する状況を捕捉した。
Magniber ランサムウェアのマルバタイジングによる配布方式はインターネットエクスプローラー(Internet Explorer)の場合、脆弱性を利用して接続しただけでも感染を試みるものであり、クロミウム(Chromium)ベースのブラウザ(ex_ edge、chrome)の場合、ブラウザアップデートのインストーラー(.Appx)を装ってダウンロードを誘導するものである。上記で説明した二通りの配布方法が、2022年02月05日以降、配布を停止している状況が見られている。
- Internet Explorer のブラウザの脆弱性を利用する Magniber ランサムウェア
https://asec.ahnlab.com/jp/27200/
- クロミウム(Chromium)ベースのブラウザの場合、アップデートインストーラー(.appx)を装って配布される Magniber ランサムウェア
https://asec.ahnlab.com/jp/30627/
以下の[図1~3]は、上記で説明した二通りの方式によるマルウェア拡散件数を当社の ASD(AhnLab Smart Defense)インフラによって確認したグラフである。1日平均500~600件ほどが拡散していたが、2月5日を基準とした現在は Internet Explorer の脆弱性を利用した配布は[図1] [図2]の通り0件を示しており、Edge、chrome による配布件数も[図3]の通り0に下落しており、2月5日以降に生成されたランサムウェアのファイルは確認がされておらず、二通りの配布方式は同日時点で配布を中断したものと思われる。
マルバタイジングによって拡散する Magniber ランサムウェアの配布が中断された状況について説明した。Magniber ランサムウェアは新しい脆弱性をいち早く搭載し、配布方式の変化も素早いランサムウェアである。配布が中断されるという状況は、逆説的に新たな脆弱性や配布方式への変更の兆候であるとも取れるため、継続的な監視が必要である。
[V3 検知]
- Exploit/MDP.CVE-2021-26411.M3751(ビヘイビア検知)
- Exploit/MDP.CVE-2021-40444.M3970(ビヘイビア検知)
- Exploit/JS.CVE-2021-40444.XM129 (プロセスメモリ検知)
- Ransomware/Win.Magniber.XM135(ファイル検知)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報