Magniber ランサムウェアの変化(*.cpl -> *.jse) – 9/8

7月20日に MSI 形式から CPL 形式に配布方式を変更したあと、8月中旬以降から配布がしばらく止まっていたものと確認されていた。持続的に変化の状況をモニタリングしていたところ、2022年9月8日からは配布方式が *.CPL (DLL形式)から *.JSE (スクリプト)形式に変更されたことを確認した。Magniber ランサムウェアは韓国国内のユーザーに最も大きな被害を与えているランサムウェアの一つとして活発に出回っており、アンチウイルスの検知を回避するための様々な試みが確認されているため、ユーザーの注意が特に必要とされる。(参考:https://asec.ahnlab.com/jp/37001/)

[図-1] 従来の CPL ファイルの配布状況

上記の図のように、従来の CPL ファイルの拡散状況が落ち着いているように見えるが、Magniber ランサムウェアの攻撃者は CPL ファイルから JSE ファイルの配布に転換したことがわかる。Chrome、Edge の Web ブラウザ別にダウンロードされるファイルの形式が異なることがわかる。Edge ブラウザでダウンロードされた ZIP ファイルの内部には Chrome と同じく JSE 形式のファイルが確認されている。

  • (2022/09/07) system_update_win10.****************.cpl
  • (2022/09/08) Antivirus_Upgrade_Cloud.****************.jse (Chrome ブラウザ)
  • (2022/09/08) Antivirus_Upgrade_Cloud.****************.zip (Edge ブラウザ)
[図-2] 広告サイトおよび偽装サイトによってリダイレクションされたランサムウェアの配布ページ(Chrome ブラウザ)
[図-3] Edge、Chrome ブラウザからダウンロードされた Magniber

これらの違いは、各ブラウザごとのセキュリティポリシーによってダウンロードが遮断されることを避けるための試みと推定できる。

[図-4] Magniber ランサムウェアのランサムノート

現在、Magniber は最新バージョンの Windows 版 Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。

現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。

[IOC]
[ファイル検知]
– Ransomware/JS.Magniber (2022.09.08.02)

[MD5]
– f63468170387166b6631bf0c851bd356

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:未分類

0 0 votes
評価する
guest