ASEC 分析チームは最近、AgentTesla マルウェアが新たな方式で拡散している状況を確認した。ASEC ブログでも何度も紹介してきた AgentTesla の従来の配布方式はパワーポイント(*.ppt)ドキュメント内に不正な VBA マクロを利用していたのに対し、新たな配布方式では Windows ヘルプファイル(*.chm)を利用して PowerShell コマンドを実行することが確認された。
https://asec.ahnlab.com/jp/29329/
不正な CHM ファイルは運送会社である DHL を詐称したフィッシングメールに添付され、圧縮ファイル形式で配布されている。DHL のほかにも様々なテーマでフィッシングメールを配布しており、ユーザーは注意する必要がある。

フィッシングメールに添付された圧縮ファイルを解凍すると不正な CHM ファイルが入っており、このファイルを実行すると待機中のメッセージが含まれる正常なヘルプウィンドウを生成し、ユーザーが不正な振る舞いに気づきにくいようにしている。

しかし、実際には内部の HTML に含まれた不正なスクリプトにより、不正な振る舞いが実行される。不正なスクリプトが含まれる HTML は[図3]、[図4]のように難読化された状態であり、[図5]および[図6]は難読化を解除したコードである。難読化が解除されたコードを見ると、3月から紹介してきた不正な CHM ファイルと類似した方式を利用していることがわかる。これは、特定の id 属性領域に不正なコマンドを挿入後、Click() 関数によって自動でそのコマンドが実行されるようにしている。




このスクリプトで実行されるコマンドは PowerShell コマンドであり、特定の url に接続してさらなる不正なデータをダウンロードして実行する機能を持つ。確認されている不正な URL は以下の通りであり、JPG 拡張子を利用していることが特徴である。
- ダウンロード URL
hxxp://pacurariu[.]com/F37.jpg
hxxp://pk-consult[.]hr/N2.jpg
hxxp://exipnikouzina[.]gr/S15.jpg
不正な URL からダウンロードするデータは、さらなる PowerShell コマンドである。過去に紹介した配布方式ではパワーポイント内の不正な VBA マクロが実行されると、mshta プロセスを通じて不正なデータをダウンロードして実行する方式であった。従来の方式においてもダウンロードするデータは PowerShell コマンドであり、実行されるマルウェアのタイプ、および実行方式が類似していることを確認した。また、当該データをダウンロードするプロセスがパワーポイント内の不正な VBA マクロを利用する形から、Windows ヘルプファイル内の不正な PowerShell コマンドを利用する形に変化したことが分かる。
ダウンロードされたデータは従来と同じ機能を実行し、不正な .NET 実行ファイルをロードする。バイナリは2つあり、1つは不正な振る舞いを実行する AgentTesla マルウェア、もう1つはそのマルウェアを正常なプロセスにインジェクションする機能を実行する Loader である。これらのバイナリは gzip によって解凍後に実行される。このスクリプトでデコードされた Loader は toooyou クラスの Black メソッドを実行し、実行引数としてインジェクション対象の正常なプロセス名と圧縮された AgentTesla バイナリを含む。

実行される Black メソッドは以下の通りであり、圧縮された AgentTesla の解凍後、RegAsm.exe プロセスにインジェクションする。上記プロセスによって情報流出型マルウェアである AgentTesla が FileLess 形式で動作することになる。

AgentTesla は週間統計の TOP3 に入るマルウェアであり、パワーポイントを利用した配布方式からも様々な形へと精巧に変形を続けてきた。また、最近は Windows ヘルプファイル(*.chm)を利用したマルウェアのタイプが増加しているため、ユーザーは注意する必要がある。出どころが不明なファイルの場合、実行しないようにしなければならない。
現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Trojan/CHM.Agent (2022.05.16.01)
Trojan/CHM.Agent (2022.05.24.00)
Infostealer/Win.AgentTesla.R420346 (2021.05.12.04)
[IOC]
91dbec3653b27c394719fcf5341fe460
4e5ef8e38b17fdf30961f28d4b5e2e23
5d0fc901682170421ebdd5c1ce047c5e
156cbb249d592230bea8fadead028b6b
hxxp://pacurariu[.]com/F37.jpg
hxxp://pk-consult[.]hr/N2.jpg
hxxp://exipnikouzina[.]gr/S15.jpg
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/34817/ […]