AhnLab Security Emergency response Center (ASEC)は今年3月、金融企業セキュリティメールを詐称した CHM について紹介した。最近、類似する方式で韓国国内の金融企業および保険会社を詐称した CHM マルウェアの配布が確認されたため、紹介する。
この CHM ファイルは圧縮形式(RAR)で配布されており、実行するとそれぞれ以下のようなヘルプウィンドウを生成する。すべて韓国国内の金融企業と保険会社を詐称した案内文であり、「カード利用限度額」、「保険料出金結果」、「銀行商品契約」の内容を含んでいる。
この時に実行される不正なスクリプトは以下の通りであり、過去の不正な CHM 内のスクリプトとは違いが存在する。Object タグとコマンドがすぐに実行されず、文字列を組み合わせたあと innerHTML プロパティによって特定の id フィールドに挿入して実行される点が異なっている。ショートカットオブジェクト(ShortCut)、Click メソッド等を利用する方式は従来と同様である。
このスクリプトによって実行されるコマンドは合計2つある。まず「C:\Users\Public\Libraries」パスに CHM ファイルを逆コンパイルする。その後、逆コンパイルされて生成された「Docs.jse」ファイルを wscript を通じて実行する。
- Command 1 : hh,-decompile C:\Users\Public\Libraries [CHM 実行パス]
- Command 2 : wscript,C:\Users\Public\Libraries\Docs.jse P
「Docs.jse」ファイルはエンコードされた JavaScript であり、デコードされたコードは以下の通りである。このコード内でも実際に不正な振る舞いに使用される文字列はエンコードされており、攻撃者はファイル検知を回避するために特定の文字列を非表示にしたものと思われる。
最終的に、このスクリプトは持続性のために「Docs.jse」ファイルを Run キーに登録する。その後 powershell コマンドによってさらなる不正なファイルのダウンロードを試みる。追加の不正なファイルは「%tmp%\alg.exe」パスにダウンロードされるが、現在は接続が不可能である。
- ダウンロード URL
hxxps://ppangz[.]mom/mjifi
hxxps://atusay[.]lat/kxydo
hxxps://labimy[.]ink/rskme
hxxps://crilts[.]cfd/cdeeb
このタイプのマルウェアは、ダウンロードされる追加の不正なファイルに応じて情報窃取等の様々な不正な振る舞いが実行され、大きな被害を受けることがある。特に、韓国国内の特定のユーザーを対象に拡散しているマルウェアは、配布対象によって関心のあるトピックの内容を含んでユーザーの実行を誘導するため、出どころの分からないメールの閲覧は避け、添付ファイルは実行しないようにしなければならない。また、周期的に PC のメンテナンスを行い、セキュリティ製品を最新エンジンにアップデートしなければならない。
[ファイル検知]
Dropper/CHM.Generic (2023.07.20.00)
[ビヘイビア検知]
Execution/EDR.Malware.M10459
Execution/EDR.Scripting.M11204
Persistence/EDR.Event.M11205
Connection/EDR.Behavior.M2650
Persistence/MDP.Event.M4697
Execution/MDP.Cmd.M4698
[IOC]
aaeb059d62c448cbea4cf96f1bbf9efa
59a924bb5cb286420edebf8d30ee424b
0f27c6e760c2a530ee59d955c566f6da
bfe2a0504f7fb1326128763644c88d37
hxxps://ppangz[.]mom/mjifi
hxxps://atusay[.]lat/kxydo
hxxps://labimy[.]ink/rskme
hxxps://crilts[.]cfd/cdeeb
Categories:マルウェアの情報