ASEC 分析チームがこのブログに毎週アップロードしている「マルウェア週間統計 Top5」のキーワードに、2年ぶりに GuLoader がランクインした。GuLoader は追加でマルウェアをダウンロードするダウンローダーマルウェアであり、ダウンロードアドレスに Google ドライブが使われることが多いため GuLoader と命名された。
https://asec.ahnlab.com/jp/36032/
ASEC 分析チームでは、このタイプのマルウェアが2022年の第二四半期に拡散した Downloader マルウェアのうち、最も多い割合を占めていることを把握しており、以下のようなフィッシングメールによって拡散している状況を確認した。今回確認されたケースは見積依頼書に偽装していたが、配布されるファイル名からして、様々な形態のフィッシングメールによって拡散していると思われる。
[拡散ファイル名の一部]
- JP181222006.exe
- Setup.exe
- PRICE_OF.EXE
- Remittance Advice.pdf.exe
- Purchase order_104121_90778_azBRIGHTOK.exe
従来の GuLoader は Visual Basic 言語でパックされていたが、最近は NSIS 形態で拡散している。実行すると、以下でわかるように、インストールファイルを装ってインストール GUI ウィンドウを表示させる。
上記の NSIS ファイルの内部の nsi ファイルと同様、%appdata%\Bestikkendes8 パスに内部ファイルを生成し、それが終わると SetAutoClose 値を true に設定して自動で[図2]のインストールウィンドウを閉じる。
| InstType $(LSTR_38) ; Custom InstallDir $APPDATA\Bestikkendes8 ; install_directory_auto_append = Bestikkendes8 ; wininit = $WINDIR\wininit.ini (省略) SetAutoClose true |
その後、内部データをメモリでデコードして実行し、最終的に hxxps://lovelifereboot[.]com/MAKS_ywgAq67.bin にアクセスして追加マルウェアのダウンロードを試みる。現在はダウンロードされないが、最近確認された GuLoader は以前と同様にインフォスティーラーおよび RAT 形態のマルウェアをダウンロードしていた。
[最終的にダウンロードされるマルウェアのタイプ]
- Formbook (Infostealer)
- AgentTesla (Infostealer)
- Remcos (RAT)
- NanoCore (RAT)
最近になって配布されるケースが増加している点と、韓国語で作成されたメールによって配布されていることが確認されたことから、韓国国内のユーザーは注意する必要がある。当該マルウェアについて AhnLab は以下のように検知している。
[ファイル検知]
Trojan/Win.GuLoader.C5175436
[IOC 情報]
29dae93183c2b0f2eb98db22d3a246dd
hxxps://lovelifereboot[.]com/MAKS_ywgAq67.bin
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報