AhnLab Security Emergency response Center(ASEC)は、不正な URL が含まれた PDF ファイルの配布を確認した。PDF ファイルから接続されるドメインを確認すると、類似した形態の PDF ファイルが特定のゲームやプログラムに関するクラックファイルダウンロードを偽装した PDF 形態で配布されていることが確認できた。配布されている PDF ファイルのうち、確認されたファイルリストの一部は以下の通りである。
- Far-Cry-3-Multiplayer-Crack-Fix.pdf
- STDISK-Activator-Free-Download-X64.pdf
- Hungry-Shark-World-360-Apk-MOD-Diamond-Coin-Data-Free-Download-FULL.pdf
- Video-Pad-Video-Editor-Free-Download-TOP-Full-Version.pdf
- Roblox-Gift-Card-2018-Projected.pdf
- minecraft-the-island-part-2.pdf
配布された PDF ファイル内に含まれているボタンをクリックすると、不正な URL アドレスに接続する。下図は PDF ファイルを開いた時に表示される画面で、赤いハイライト部分のボタンのうち一つをクリックすると、以下のアドレスに接続する。
- hxxps://fancli[.]com/21czb7
接続したリンクでは以下の URL アドレスにリダイレクトする。
- hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3
下図はリダイレクトされたサイトの画面で、ダウンロードボタンをクリックすると暗号化された圧縮ファイルがダウンロードされる。その後、復号化パスワードが表示されるページにリダイレクトされる。
リダイレクトされたページでは、暗号化された圧縮ファイルを復号化して実行できるように「アーカイブパスワード:1234」の文字列を表示し、圧縮ファイルの解凍および実行を誘導する。下図はファイルダウンロードアドレスからリダイレクトされた後、圧縮ファイルの解凍パスワードが表示された画面である。
ダウンロードした圧縮ファイルの名前は「Setup.7z」であり、パスワードを使用して解凍すると、下記の図の File.exe ファイルが作成される。
管理者権限で実行された File.exe プロセスは、レジストリ値を以下の通りに操作して Windows Defender を無効化する。
* HKLM\SOFTWARE\Policies\Microsoft\Windows Defender:DisableAntiSpyware=1
また、被害 PC のブラウザログイン情報と、IP 位置情報 API サイトを利用し、IP、位置情報をすべて窃取した後、追加のマルウェアを下記のパスにダウンロードする。
- C:\Users\%USERNAME%\Pictures
- C:\Users\%USERNAME%\Pictures\Minor Policy
ダウンロードするマルウェアはランサムウェア、PUP、インフォスティーラー、Dropper などであり、ダウンロードしたファイルの一部は隠しファイル、システムファイル属性に設定される。下図はダウンロードする不正なファイルの一部をキャプチャした図である。
マルウェア配布の全体的なフローは下の図式から確認できるように、初回の不正な URL が含まれている PDF ファイルでマルウェアのダウンロードと実行を誘導する。実行されたマルウェアはランサムウェア、Adware、インフォスティーラーなど、様々なマルウェアをダウンロードして実行する。
ダウンロードされるマルウェアの中、hxxp://109.107.182[.]2/race/bus50.exe アドレスからダウンロードするマルウェアは CAB ファイルで構成された SFX ファイルである。この SFX ファイルが実行されると、不正な振る舞いを行うファイルとはまた別の SFX ファイルが %TEMP% パスの下位の「IXP000.TMP」フォルダーに作成される。下位の SFX ファイルは、%TEMP% パス下位の「IXP001.TMP」のように「IXP」文字列の語尾につく数字を増加させながらフォルダーを作成し、下位のファイルを作成する振る舞いを繰り返す。結果、合計6個の SFX ファイルと7個の追加マルウェアが作成される。
CAB 形態の SFX ファイルは、2021年に ASEC ブログでも紹介したことがある。
[ファイル検知]
- Phishing/PDF.Generic (2023.10.25.02)
- Downloader/Win.BeamWinHTTP.C5530057 (2023.10.25.02)
- Dropper/Win.Generic.X2198 (2023.10.31.00)
- Trojan/Win.RedLine.R619129 (2023.10.31.01)
[振る舞いベース検知]
- Malware/MDP.Drop.M254
[IOC]
Hash (MD5)
- d97fbf9d6dd509c78308731b0e57875a (PDF)
- 9ce00f95fb670723dd104c417f486f81 (File.exe)
- 3837ff5bfbee187415c131cdbf97326b (SFX)
- 7e88670e893f284a13a2d88af7295317 (RedLine)
Download URL
- hxxps://vk[.]com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
- hxxp://171.22.28[.]226/download/Services.exe
- hxxp://109.107.182[.]2/race/bus50.exe
- hxxp://albertwashington[.]icu/timeSync.exe
- hxxps://experiment[.]pw/setup294.exe
- hxxps://sun6-22.userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWlSiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報