AhnLab Security Emergency response Center(ASEC)は、個人情報の販売をだしにしてマルウェアが配布されている状況を確認した。このような攻撃手法は、ソーシャルエンジニアリング・ハッキングに属する。ASEC で最近確認されたソーシャルエンジニアリング・ハッキングによるマルウェアの配布状況を紹介する。
図1. 攻撃者が使用した配布元
[図1]は、攻撃者が配布元として使用したホームページの内容である。多数のファイルが存在する。大半が個人情報を含むファイルであり、ファイルの中身は「リーディング」、「非上場」、「短打」、「中長期」等、投資関連の内容を含んでいる。
図2. coin.xlsx ファイルの中身
図3. DD10.25.xlsx ファイルの中身
図4. 10.25kaka.xlsx ファイルの中身
攻撃者は、マルウェアの配布元に8,500件を超える多数の個人情報をファイルとして所有していた。名前や電話番号以外にも、個人の投資金額や信用等を記録したファイルも存在していた。
図5. 初期の配布スクリプト
図6. win64.vbs スクリプトの内容
図7. win64.vbs が実行する PowerShell コマンド
このような個人情報は[図5]のスクリプトのようにマルウェアの配布者が販売を偽装してマルウェアに感染させるものと確認されている。マルウェアに直接感染させる[図6]のスクリプトや個人情報ファイルをダウンロードして実行させる。実行されるマルウェアはスクリプトとして表示されず、ユーザーの立場では個人情報ファイルが開かれるため、マルウェアへの感染を疑うことが難しい。
[図6]は[図1]のリストに存在する win64.vbs ファイルの内容である。エンコードされた文字列を置換およびデコードして、PowerShell として実行する。実行されるコマンドは比較的シンプルなものである。textbin アドレスの文字列を読み取り、base64 でデコードして実行し、[図1]のリストの base64.txt ファイルをダウンロードして実行する役割を担う。
図8. 実行されるマルウェアの機能の一部
実行されるマルウェアは遠隔操作が可能な RAT 機能と同じであり、機能としては自動実行登録、スクリプトの実行、追加ファイルのダウンロード、ダウンロードしたファイルを正常なプロセスである Regsvcs.exe による実行機能とリバース接続を実行する。
本記事では、個人情報をだしにしたマルウェアの配布状況を紹介した。本記事で確認されたファイルでも「リーディング」、「非上場」、「短打」等の単語が多数存在した。このように無差別に収集された個人情報は暗号化して保管されず、流出時はマルウェアの配布に再利用される。ユーザーは認可を受けていない投資情報を提供するグループチャット等に対する注意が必要である。
ファイル検知
Trojan/VBS.Runner (2023.11.21.00)
Trojan/Win.Agent.C426491 (2021.06.30.03)
Backdoor/Win.AsyncRat.C5372433 (2023.02.02.03)
Dropper/Win.Generic.C5499482 (2023.10.02.00)
振る舞い検知
Execution/MDP.Powershell.M2514
[IOC]
MD5
a377d92101121294088e02b01624f19c
ebaa2ad4d3b7e88424e9db4c860d7558
d3d5f947a872d50fd2addfecfa2b2276
27218824d5b1da553e3d65f2a4a0f974
f963a7bf7b1377d78813c90dd649f512
ebaa2ad4d3b7e88424e9db4c860d7558
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報