Posted By ,

Adobe Reader インストーラーに偽装したインフォスティーラー

AhnLab SEcurity intelligence Center(ASEC)は、最近 Adobe Reader インストーラーに偽装したインフォスティーラーマルウェアが配布されていることを確認した。このファイルは PDF で配布されており、ユーザーがファイルをダウンロードして実行するように誘導する。

[図1]の偽装 PDF には、ポルトガル語でドキュメントを確認するためには Adobe Reader のインストールが必要であり、クリックしてダウンロードするように書かれている。ユーザーがドキュメントを閲覧するためには Adobe Reader が必要であるかのように偽装して、ユーザーが攻撃者のマルウェアをダウンロードおよび実行するように誘導する。

図1. 偽装 PDF

[図1]の灰色の領域をクリックすると、下記のアドレスに接続してマルウェアをダウンロードする。

  • hxxps://raw.githubusercontent[.]com/fefifojs/reader/main/Reader_Install_Setup.exe

ダウンロードしたファイルは Adobe Reader アイコンを使用しており、ファイル名は Reader_Install_Setup.exe で正常な Adobe Reader のインストーラーに偽装して実行を誘導する。

図2. Reader_Install_Setup.exe

PDF ファイルから不正なファイルのダウンロードを含む全体フローは下記の図式の通りである。

図3. 図式

ダウンロードしたファイルの実行プロセスは3段階に分けることができる。

  1. ファイル生成
  2. DLL Hijacking & UAC Bypass
  3. 情報流出

1. ファイル生成

ダウンロードされた不正なファイルの Reader_Install_Setup.exe を実行すると、下記の振る舞いをする。

[Reader_Install_Setup.exe]
1. %TEMP%\require.exe ファイル生成
2. %AppData%\Local\Microsoft\WindowsApps\BluetoothDiagnosticUtil.dll
3. msdt.exe 実行

2. DLL Hijacking & UAC Bypass

Reader_Install_Setup.exe は2つの不正なファイルを生成した後、下記のコマンドで正常な Windows システムファイルである msdt.exe を下記のコマンドで実行する。

"C:\Windows\SysWOW64\msdt.exe" -path "C:\WINDOWS\diagnotics\index\BluetoothDiagnostic.xml" -skip yes

実行された msdt.exe プロセスは管理者権限で sdiagnhost.exe を実行する役割をする。

[msdt.exe]
1. 管理者権限で再帰実行
2. sdiagnhost.exe 実行

sdiagnhost.exe は不正な BluetoothDiagnosticUtil.dll をロードする。

[sdiagnhost.exe]
1. 不正な BluetoothDiagnosticUtil.dll ロード (DLL Hijacking)
2. 不正な DLL モジュールの DllMain 関数によって require.exe 実行

Windows システムは基本的に「%AppData%\Local\Microsoft\WindowsApps」パスが PATH 環境変数で登録されている。よって、sdiagnhost.exe プロセスが BluetoothDiagnosticUtil.dll をロードするプロセスで不正な DLL ファイルがロードされる。

上記のプロセスを通して攻撃者は DLL ハイジャックを通した UAC(User Account Control)回避が可能になる。

不正な BluetoothDiagnosticUtil.dll は、正常な DLL ファイルとは違って export 関数がなく、DllMain 関数のみ存在する。
DllMain 関数では Reader_Install_Setup.exe ファイルが生成した require.exe 不正なファイルを実行する。

図4. 生成された BluetoothDiagnosticUtil.dll ファイルDLL Main 関数
図5. CreateProcess 関数で require.exe 実行

3. 情報流出

実行された require.exe は下記の振る舞いを実行する。

[require.exe]
1. PC 情報収集および C2 通信
– C2 アドレス:hxxps://blamefade.com[.]br/
2. 下記のパス生成および Windows Defender 除外パス登録
– パス:%AppData%\Roaming\ChromeApplication
3. 生成したパスに chrome.exe を含むファイル生成および隠し属性に設定

図6. 生成された ChromeApplication フォルダー

生成された chrome.exe は、Google 社の chrome ブラウザとは関係のない不正なファイルであり、ファイルアイコンで本当のブラウザ実行ファイルのように偽装している。

[chrome.exe]
1. システム情報とユーザーのブラウザ情報収集および C2 サーバーに送信
– C2 アドレス:hxxps://thinkforce.com[.]br/

このように、ユーザーを欺いてマルウェアを実行するように誘導するファイルはとりわけ注意する必要があり、特に公式サイトではない他の場所からダウンロードしたファイルは実行時に注意する必要がある。

V3 検知情報と IOC は下記の通りである。

図7. V3 ファイル検知情報
図8. V3 振る舞い検知情報

[ファイル検知]
– Trojan/Win.Agent.C5594460 (2024.02.28.00)
– Infostealer/Win.Agent.C5594461 (2024.02.28.00)
– Trojan/Win.Agent.C5594846 (2024.02.28.00)
– Phishing/PDF.Agent (2024.02.24.00)

[振る舞い検知]
– Malware/MDP.Drop.M254 (2017.01.18.00)

[IOC 情報]

[MD5]
84526c50bc14838ddd97657db7c760ca
0eebfc748bc887a6ef5bade20ef9ca6b
b24441f5249d173015dd0547d1654c6a
02b96e2079bbc151222bb5bd10a4be9d

[C&C]
hxxps://blamefade.com[.]br/
hxxps://thinkforce.com[.]br/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェアの情報