ASEC
  • マルウェアの情報
  • AhnLab 検知
  • 総計
  • 対応ガイド
  • AhnLab
Posted By ATCP , 2024년 03월 11일

Notion インストーラーに偽装した MSIX マルウェアの拡散

Notion インストーラーに偽装した MSIX マルウェアが拡散している。配布元は実際の Notion ホームページと似たように作られている。

図1.  マルウェアの配布元

ダウンロードボタンをクリックすると「Notion-x86.msix」という名前のファイルがダウンロードされる。このファイルは Windows app Installer であり、有効な署名を含んでいる。

図2. 不正なインストーラーの署名情報

実行すると以下のような画面が表示され、インストールをクリックすると Notion がインストールされると同時に、マルウェアに感染する。

図3. 不正なインストーラーの実行画面

インストールすると、プログラムのパスに StartingScriptWrapper.ps1 ファイルと refresh.ps1 ファイルが生成される。StartingScriptWrapper.ps1 ファイルは引数で渡された PowerShell スクリプトファイルを実行する機能の、Microsoft の署名を持つ正常なファイルである。このファイルを通じてインストール過程でパッケージ内部の config.json 設定ファイルを読み込み、特定の PowerShell スクリプトを実行できる。本パッケージの config.json ファイルは、以下のように refresh.ps1 ファイルを実行するように構成されている。

図4. config.json ファイルの内容

この過程で実行される refresh.ps1 ファイルが実質的なマルウェアであり、C2 からコマンドをダウンロードして実行する機能を果たす。

refresh.ps1 ファイルは空白文字を活用して難読化された構造をしており、空白のみで構成された各変数に整数を代入して、これを乗算または加算して文字列を完成させる。難読化されたスクリプトは 8663文字で構成されているのに対し、最終的に実行される文字列は約 200文字の長さのコマンドである。

図5. refresh.ps1 ファイルの内容
図6. 難読化が解除された refresh.ps1

このコマンドは、C2 から追加の PowerShell コマンドをダウンロードして実行する。現在は C2 サーバーが正常に応答しないが、解析初期当時は LummaC2 マルウェアの配布を確認した。

また、当社製品のログを通じて hxxps://fleetcontents.com/1.dat ファイルがダウンロードされ、PowerShell.exe 上でロードして実行されたことを確認した。したがって、この C2 は別の C2 から 1.dat ファイルをダウンロードしたあと、ロードするコマンドにレスポンスしたものと思われる。

1.dat ファイルは .NET EXE ファイルであり、プロセスハロウイング手法を利用して RegAsm.exe に LummaC2 マルウェアを注入して実行する。

不正な振る舞いに関するプロセスツリーは以下の通りである。Windows インストーラーを介して実行されるため、関連するサービスホストから開始される。

図7. プロセスツリー

LummaC2 は情報窃取型マルウェアであり、ブラウザ情報、暗号通貨情報、ファイル等を窃取できる。LummaC2 に関する情報は以下のブログで確認できる。

  • 新種の情報窃取マルウェア、LummaC2 違法クラックに偽装して拡散中

ファイルを実行する際は必ず公式ホームページのドメインであることを確認しなければならず、正常な署名を持つ場合であっても、署名者の情報を必ず確認する必要がある。特に、最近拡散している Notion 偽装マルウェア以外にも、Slack、WinRar、Bandicam 等の様々なプログラムに偽装した不正な MSIX ファイルも確認されているため、MSIX ファイルを実行する際は特に注意しなければならない。

[IOC 情報]

配布元

  • hxxps://trynotion[.]org
  • hxxps://notion.rtpcuan138[.]com
  • hxxps://emobileo[.]com/Notion-x86.msix

ファイル

  • d888a82701f47a2aa94dcddda392c07d (Dropper/APPX.LummaC2 2024.02.28.00) (Notion-x86.msix)
  • 3cdc99c2649d1d95fe7768ccfd4f1dd5 (Downloader/PowerShell.Obfus 2024.02.28.00) (refresh.ps1)
  • 8a3a10fcb3f67c01cd313a39ab360a80 (Trojan/Win.Generic.C5557471 2024.02.27.01) (dat1)

C2

  • hxxps://ads-tooth[.]top/check.php (refresh.ps1)
  • hxxps://fleetcontents[.]com/1.dat (check.php)
  • hxxps://problemregardybuiwo[.]fun/api (LummaC2)
  • hxxps://technologyenterdo[.]shop/api (LummaC2)
  • hxxps://lighterepisodeheighte[.]fun/api (LummaC2)
  • hxxps://detectordiscusser[.]shop/api (LummaC2)
  • hxxps://edurestunningcrackyow[.]fun/api (LummaC2)
  • hxxps://pooreveningfuseor[.]pw/api (LummaC2)
  • hxxps://turkeyunlikelyofw[.]shop/api (LummaC2)
  • hxxps://associationokeo[.]shop/api (LummaC2)

Categories: マルウェアの情報

Tagged as: InfoStealer, LummaC2, malware, masquerading, MSIX, notion, PowerShell

z0Miner 攻撃者、韓国国内 Web サーバーを悪用して WebLogic サーバー攻撃
Adobe Reader インストーラーに偽装したインフォスティーラー

Archives

  • Facebook
  • RSS Feed
follow us in feedly
 

Loading Comments...