Office インストールプログラムに偽装して拡散している BitRAT マルウェア

ASEC 分析チームでは、過去に BitRAT マルウェアが Windows OS ライセンス認証ツールに偽装して配布されている状況を以下のブログに掲載した。最近、この BitRAT マルウェアは配布ファイルを変更して Office インストールプログラムを通じて被害者をおびき寄せている。

https://asec.ahnlab.com/jp/32753/

以下はウェブハードにアップロードされたマルウェアが含まれたスレッドであり「[最新][お得]Office 2021 インストール + 永久ライセンス認証」というタイトルである。

[図1] Windows ライセンス認証ツールに偽装したスレッド – 1
[図2] Windows ライセンス認証ツールに偽装したスレッド – 2

ダウンロードしたファイルは[図3]、[図4]のように、過去のブログで取り上げたものと同様、「Program.zip」という圧縮ファイルであり、スレッドの説明通りパスワードは「1234」で暗号圧縮されている。圧縮ファイルの中には「OInstall.exe」という Office インストールプログラムが含まれている。

[図3] ダウンロードした圧縮ファイル
[図4] 圧縮ファイル内部に含まれるファイル

被害者のもとに表示される画面は[図5]のように Office ダウンロードプログラムであるが、実際のダウンローダーマルウェアは[図6]のように Windows スタートアッププログラムフォルダーにマルウェアをインストールする。一般的に最初にインストールされるものは同じタイプのダウンローダーマルウェアであり、このようにして実行されたダウンローダーは最終的に BitRAT マルウェアを %TEMP% パスに「Software_Reporter_Tool.exe」という名前でインストールする。

[図5] 被害者のもとに表示される Office ダウンロードプログラム
[図6] 被害者に認知されずダウンロードされる実際のマルウェア(BitRAT ダウンローダー)

以下は BitRAT マルウェアの機能である。

1. ネットワーク通信方式
– TLS 1.2 を利用した暗号化された通信
– Tor を利用した通信

2. 基本制御
– プロセスマネージャー
– サービスマネージャー
– ファイルマネージャー
– Windows マネージャー
– ソフトウェアマネージャー

3. 情報窃取
– キーロガー
– クリップボードロガー
– Web カメラロガー
– オーディオロガー
– Web ブラウザのようなアプリケーションのアカウント情報窃取

4. 遠隔操作
– リモートデスクトップ
– hVNC (Hidden Desktop)

5. プロキシ
– SOCKS5 Proxy : UPnP を利用したポートフォワーディング機能の提供
– Reverse Proxy : SOCKS4 Proxy

6. コインマイニング
– XMRig CoinMiner

7. その他
– DDoS 攻撃
– UAC Bypass
– Windows Defender の無効化

このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。

AhnLab 製品では、これらのマルウェアを以下の通り検知している。

[ファイル検知]
– Downloader/Win.BitRAT.C5018635 (2022.03.22.03)
– Downloader/Win.BitRAT.R479001 (2022.03.22.03)
– Backdoor/Win.BitRAT.C5023733 (2022.03.22.03)

[ビヘイビア検知]
– Malware/MDP.Download.M1197

[IOC]
ダウンローダーマルウェア MD5
8efb366f0adeeb32e66ea03eff4f50f8
56fbf1d1f2737a2d3c05b2dbc7bb0ca6
72869b470b5fe354db412283b4172a47
08634ba1bdf3d4594887a9a7a44c7ab1

BitRAT MD5
d632849a9033f24257439988533d31f2

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments