ASEC 分析チームは2週間前、Windows ヘルプファイル(*.chm)形式のマルウェアについて紹介した。本日追加で確認された不正な chm ファイルは、新型コロナウイルスの感染案内文を詐称する形で韓国国内のユーザーをターゲットに拡散している。新型コロナウイルスの感染者が多数発生する時期を狙い、関連する内容によって拡散させているものと見られる。
https://asec.ahnlab.com/jp/32792/
現在出回っているファイル名は以下の通りであり、不正な chm ファイルを開くと、さらなる不正なファイルを実行する。この時、ユーザー PC 画面には新型コロナウイルスの感染案内文のウィンドウが生成され、不正なファイルが実行されたことを認知しにくいようにしている。
- 拡散ファイル名
感染者および同居人案内文 (50).chm
また、案内文に含まれた短縮 URL は以下のように正常なサイトへリダイレクトされるため、ユーザーはより一層、不正な振る舞いに気づきにくい。
不正な chm ファイルに含まれた html ファイルのコードを確認すると、以下のようなスクリプトが存在する。このスクリプトは、特定の id 属性領域にスクリプトを挿入後、Click() 関数によって不正なコマンドを実行する機能を遂行する。不正なコマンドが実行されると hh.exe プロセスを通じて chm ファイルを逆コンパイルし「c:\\programdata\\chmtemp」フォルダーに生成する。hh.exe プロセスは HTML ヘルプ実行プログラムであり、コンパイルされたヘルプ(*.chm)ファイルを実行、またはヘルプファイル内の検索およびその他機能を提供している。その後、逆コンパイルされたファイルのうち chmext.exe を実行する。
chmext.exe ファイルは以下のブログ記事で紹介した内容のうち、Word プロセスにインジェクションされるデータと同じタイプである。このファイルを拡散させた攻撃者と同じ攻撃者であると推定され、chmext.exe ファイルを実行すると同じように「%ProgramData%\Intel」フォルダーに IntelRST.exe をドロップする。
https://asec.ahnlab.com/jp/33135/
ドロップして実行される IntelRST.exe ファイルも同じタイプであり、プロセスのチェック、RUN キー登録、UAC Bypass、Windows Defender の例外設定機能がすべて同じである。その後 hxxps://dl.dropboxusercontent[.]com/s/k288s9tu2o53v41/zs_url.txt?dl=0 に接続を試みるが、現在は接続が不可能である。この URL から、さらなる URL を受け取ったあと、不正な振る舞いが実行されるものと推定される。
最近、韓国国内ユーザーをターゲットにした不正な Windows ヘルプファイル(*.chm)が多数確認されているため、ユーザーは特に注意が必要である。また、出どころが不明なファイルの場合、実行しないようにしなければならない。
現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Dropper/CHM.Akdoor (2022.03.31.02)
Trojan/Win.Generic.C5025270 (2022.03.23.02)
Dropper/Win.Agent.C5028107 (2022.03.25.03)
[IOC]
210db61d1b11c1d233fd8a0645946074
619649ce3fc1682c702d9159e778f8fd
bb71af5c5a113a050ff5928535d3465e
hxxps://dl.dropboxusercontent[.]com/s/k288s9tu2o53v41/zs_url.txt?dl=0
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報