ASEC 分析チームは、配布の件数が多いマグニバー(Magniber)ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE の脆弱性による配布を終了していた。そして、最近の Magniber ランサムウェアは、Edge、Chrome ブラウザから Windows のインストールパッケージファイル(.msi)で配布されている。
https://asec.ahnlab.com/jp/32161/
Windows のインストールパッケージファイル(.msi)で拡散している Magniber ランサムウェアは、[図1]のように、一日に数百件程度の配布ログが報告されている。
Magniber ランサムウェアは、不適切な広告サイトにアクセスした際、もしくは正常なサイトに似せてドメインを偽装(タイポスクワッティング)したサイトにアクセスしたときに、[図2]のように msi ダウンロードサイトにリダイレクションする。このサイトから[図3]のような Microsoft アップデートファイルに偽装した Windows インストールパッケージファイル(.msi)がダウンロードされる。
以下の [図4]は、msi ファイルで配布される Magniber ランサムウェアの変化と稼働方式を説明した図である。従来の msiexec.exe で稼働していた Magniber ランサムウェアは、5月初めを基準にユーザーの正常なプロセスにランサムウェアを注入する方式に変化している。
動作方式が変化した msi ファイルは、以下の[図5]のように、Windows インストールパッケージ(msi)の CustomAction 機能によって injector DLL をドロップしてロードし、Export 関数(udxleoyjaionwdbkwf)を実行する。
[図6]は Export 関数(udxleoyjaionwdbkwf)のコードである。このコードは、デコード(XOR)プロセスを通して[図7]、[図8]のような繰り返し文(do-while)を巡回して、実行中の正常なプロセスにランサムウェアのペイロードを注入する。
上記のコードプロセスを通して正常なプロセスにインジェクションされた Magniber ランサムウェアは、ユーザーのファイルを暗号化する。そして、暗号化されたフォルダーパスに[図9]のような金銭を要求するランサムノートを生成する。
現在、Magniber は最新バージョンの Windows 版 Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。
現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。
[IOC]
[dll 生成パス]
– C:\Windows\Installer\MSI[ランダムな4桁].tmp
[dll ファイル検知]
– Ransomware/Win.Magniber (2022.07.01.00)
[msi ファイル検知]
– Ransomware/MSI.Magniber (2022.07.01.00)
[権限昇格のビヘイビア検知]
– Escalation/MDP.Magniber.M4217 (2022.02.25.03)
[msi MD5]
ccdba00eae09a4f58d025f2159d30aef
[Injector dll MD5]
24b5f8d4380c7eb1c18fed412c3eff9b
Categories:マルウェアの情報