2022年2月から Magniber ランサムウェアは Internet Explorer ブラウザの脆弱性ではなく、Windows インストールパッケージファイル(.msi)形式で配布されている。
https://asec.ahnlab.com/jp/32161/
有効な証明書が含まれており、MSI ファイルの内部に DLL 形式で配布されていたが、7/20(水)からは MSI ファイルではなく CPL 拡張子(Windows Control Panel Item)によって配布されていることが確認された。

上記の図のように、従来の MSI ファイルの拡散状況が落ち着ているように見えるが、Magniber ランサムウェアの攻撃者は MSI ファイルから CPL ファイルに配布経路を転換したことがわかる。
(2022/07/19) MS.Upgrade.Database.Cloud.msi
(2022/07/20) MS.Upgrade.Database.Cloud.cpl (Chrome ブラウザ)
(2022/07/20) MS.Upgrade.Database.Cloud.zip (Edge ブラウザ)

Chrome ブラウザの場合、cpl ファイルがそのままダウンロードされるが、Edge ブラウザの場合は cpl ファイルのダウンロードがブロックされるため、.zip ファイルに圧縮されて配布されている。


Magniber の攻撃者は Edge ブラウザからも .cpl ファイルを配布しているが、ブラウザからダウンロードがブロックされるや否や .zip に変更して配布を開始した。


ダウンロードされた [Magniber].cpl ファイルをユーザーが実行する場合、Windows の正常なプロセスである control.exe が rundll32.exe を利用して cpl ファイルを動作させる。

現在、Magniber は最新バージョンの Windows 版 Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。
現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。
[IOC]
[ファイル検知]
Ransomware/Win.Magniber.C5211694 (2022.07.20.02)
[ビヘイビア検知]
Ransom/MDP.Magniber.M4379 (2022.07.22.02)
[.cpl MD5]
C49DD67AFB59A85FBCBC77C412338255
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] 7月20日に MSI 形式から CPL 形式に配布方式を変更したあと、8月中旬以降から配布がしばらく止まっていたものと確認されていた。持続的に変化の状況をモニタリングしていたところ、2022年9月8日からは配布方式が *.CPL (DLL形式)から *.JSE (スクリプト)形式に変更されたことを確認した。Magniber ランサムウェアは韓国国内のユーザーに最も大きな被害を与えているランサムウェアの一つとして活発に出回っており、アンチウイルスの検知を回避するための様々な試みが確認されているため、ユーザーの注意が特に必要とされる。(参考:https://asec.ahnlab.com/jp/37001/) […]
[…] https://asec.ahnlab.com/jp/37001/ […]