ASEC 分析チームは、9月8日に Magniber ランサムウェアが CPL 拡張子から JSE 拡張子に変化したことを、ブログを通じて紹介した。
https://asec.ahnlab.com/jp/38812/
攻撃者は9月8日以降の9月16日にも、JSE 拡張子から JS 拡張子へと変化させた。そして9月28日、攻撃者は JS 拡張子から WSF 拡張子に配布方式を変化させた。攻撃者は、V3 のようなアンチウイルス製品の様々な検知方式を回避するために、持続的に変形型を拡散させているものと見られる。
- *.MSI (2022.02.22) -> *.CPL (2022.07.20) -> *.JSE (2022.09.08) -> *.JS (2022.09.16) -> *.WSF (2022.09.28)
9月28日に変化した WSF 配布方式は、[図1]、[図2]のように Chrome および Edge ブラウザのどちらも同様に、単一の WSF ファイル形式で配布することが特徴である。
Magniber は主に Chrome、Edge ブラウザのユーザーをターゲットに、ドメインの誤字脱字を悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。
現在 AhnLab では Magniber ランサムウェアに対して、ファイル検知だけでなく、様々な検知方法により対応を行っている。したがって、ユーザーは [V3 環境設定 > スキャン設定] で、「プロセスメモリ検知機能を使用する」、「悪意のあるスクリプト (AMSI) 機能を使用する」 オプションを有効化して使用することを推奨する。
[IOC]
[MD5 (検知名)] – WSF スクリプトファイル検知
– 326cd431aa11014dd61a7a22b5038fb8 (Ransomware/WSF.Magniber (2022.09.28.02))
[プロセスメモリ検知]
– Ransomware/Win.Magniber.XM153 (2022.09.15.03)
[MD5 (検知名)] – AMSI 検知(.NET DLL)
– e59d7d6db1fcc8dfa57c244ebffc6de7 (Ransomware/Win.Magniber.R519329 (2022.09.15.02))
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報