Posted By ,

マルウェアパッケージをダウンロードする Phishing 型 PDF

AhnLab Security Emergency response Center(ASEC)は、不正な URL が含まれた PDF ファイルの配布を確認した。PDF ファイルから接続されるドメインを確認すると、類似した形態の PDF ファイルが特定のゲームやプログラムに関するクラックファイルダウンロードを偽装した PDF 形態で配布されていることが確認できた。配布されている PDF ファイルのうち、確認されたファイルリストの一部は以下の通りである。

  • Far-Cry-3-Multiplayer-Crack-Fix.pdf
  • STDISK-Activator-Free-Download-X64.pdf
  • Hungry-Shark-World-360-Apk-MOD-Diamond-Coin-Data-Free-Download-FULL.pdf
  • Video-Pad-Video-Editor-Free-Download-TOP-Full-Version.pdf
  • Roblox-Gift-Card-2018-Projected.pdf
  • minecraft-the-island-part-2.pdf

配布された PDF ファイル内に含まれているボタンをクリックすると、不正な URL アドレスに接続する。下図は PDF ファイルを開いた時に表示される画面で、赤いハイライト部分のボタンのうち一つをクリックすると、以下のアドレスに接続する。

  • hxxps://fancli[.]com/21czb7
図1.  不正な PDF

接続したリンクでは以下の URL アドレスにリダイレクトする。

  • hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3

下図はリダイレクトされたサイトの画面で、ダウンロードボタンをクリックすると暗号化された圧縮ファイルがダウンロードされる。その後、復号化パスワードが表示されるページにリダイレクトされる。

図2. hxxps://fancli[.]com/21czb7 アドレスからリダイレクトされたページの画面

リダイレクトされたページでは、暗号化された圧縮ファイルを復号化して実行できるように「アーカイブパスワード:1234」の文字列を表示し、圧縮ファイルの解凍および実行を誘導する。下図はファイルダウンロードアドレスからリダイレクトされた後、圧縮ファイルの解凍パスワードが表示された画面である。

図3. リダイレクトされたページ

ダウンロードした圧縮ファイルの名前は「Setup.7z」であり、パスワードを使用して解凍すると、下記の図の File.exe ファイルが作成される。

図4. 解凍された File.exe ファイル

管理者権限で実行された File.exe プロセスは、レジストリ値を以下の通りに操作して Windows Defender を無効化する。

* HKLM\SOFTWARE\Policies\Microsoft\Windows Defender:DisableAntiSpyware=1

また、被害 PC のブラウザログイン情報と、IP 位置情報 API サイトを利用し、IP、位置情報をすべて窃取した後、追加のマルウェアを下記のパスにダウンロードする。

  • C:\Users\%USERNAME%\Pictures
  • C:\Users\%USERNAME%\Pictures\Minor Policy

ダウンロードするマルウェアはランサムウェア、PUP、インフォスティーラー、Dropper などであり、ダウンロードしたファイルの一部は隠しファイル、システムファイル属性に設定される。下図はダウンロードする不正なファイルの一部をキャプチャした図である。

図5. File.exe マルウェアがダウンロードする追加ファイル

マルウェア配布の全体的なフローは下の図式から確認できるように、初回の不正な URL が含まれている PDF ファイルでマルウェアのダウンロードと実行を誘導する。実行されたマルウェアはランサムウェア、Adware、インフォスティーラーなど、様々なマルウェアをダウンロードして実行する。

図6. マルウェア配布の全体図式

ダウンロードされるマルウェアの中、hxxp://109.107.182[.]2/race/bus50.exe アドレスからダウンロードするマルウェアは CAB ファイルで構成された SFX ファイルである。この SFX ファイルが実行されると、不正な振る舞いを行うファイルとはまた別の SFX ファイルが %TEMP% パスの下位の「IXP000.TMP」フォルダーに作成される。下位の SFX ファイルは、%TEMP% パス下位の「IXP001.TMP」のように「IXP」文字列の語尾につく数字を増加させながらフォルダーを作成し、下位のファイルを作成する振る舞いを繰り返す。結果、合計6個の SFX ファイルと7個の追加マルウェアが作成される。

図7. SFX 形式マルウェアの実行フロー

CAB 形態の SFX ファイルは、2021年に ASEC ブログでも紹介したことがある。

ソフトウェア Crack のダウンロードに偽装した CryptBot マルウェアのアウトラインにおける変化

ブログで紹介したファイルの他にも多くのファイルが類似した形態で配布されている。ユーザーは正規版ではないプログラムの使用を控える必要があり、ファイル実行時にも注意する必要がある。
現在、V3 では以下のように検知しており、IOC は以下の通りである。
図8. V3 検知結果
図9. SFX ファイル V3 振る舞いベース検知結果

[ファイル検知]

  • Phishing/PDF.Generic (2023.10.25.02)
  • Downloader/Win.BeamWinHTTP.C5530057 (2023.10.25.02)
  • Dropper/Win.Generic.X2198 (2023.10.31.00)
  • Trojan/Win.RedLine.R619129 (2023.10.31.01)

[振る舞いベース検知]

  • Malware/MDP.Drop.M254

[IOC]

Hash (MD5)

  • d97fbf9d6dd509c78308731b0e57875a (PDF)
  • 9ce00f95fb670723dd104c417f486f81 (File.exe)
  • 3837ff5bfbee187415c131cdbf97326b (SFX)
  • 7e88670e893f284a13a2d88af7295317 (RedLine)

Download URL

  • hxxps://vk[.]com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
  • hxxp://171.22.28[.]226/download/Services.exe
  • hxxp://109.107.182[.]2/race/bus50.exe
  • hxxp://albertwashington[.]icu/timeSync.exe
  • hxxps://experiment[.]pw/setup294.exe
  • hxxps://sun6-22.userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWlSiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェアの情報

Tagged as: ,