ASEC(AhnLab SEcurity intelligence Center)では、貼り付け(CTRL+V)機能を活用して配布される DarkGate マルウェアを紹介したことがある。
この事例では、MS Word ファイルに偽装した HTML 添付ファイル(フィッシングメール)の閲覧を通じてマルウェアを配布する方式が使われたが、最近は偽の CAPTCHA ページから配布される情報窃取型マルウェア(LummaC2)が確認された。
1. 配布経路
初期配布ページを閲覧すると、以下のように見慣れた認証画面が存在する。このページで「I’m not a robot」ボタンをクリックすると、不正な URL に接続するコマンドがクリップボードにコピーされる。
[図1] 偽の CAPTCHA 認証ページ
[図2] クリップボードにコマンドをコピーするコード
このコマンドは「mshta.exe」プロセスを利用し、不正な URL にある不正なスクリプトが含まれたファイル(web44.mp4)を実行する。このファイルは mp4 拡張子とは無関係な内容であり、難読化されているため、スクリプトとして認識されにくく作られている。ファイルの文字列を抽出するとスクリプトを確認できるが、これも難読化されている。
[図3] (左:web44.mp4 原本ファイル / 右:web44.mp4 の文字列抽出によって確認されるスクリプトファイル)
HTA ファイルは、結果的に PowerShell スクリプトを実行する。実行される PowerShell スクリプトもまた、AES 暗号化されている。
[図4] AES で復号化したスクリプト
[図5] LummaC2 を実行する PowerShell スクリプト(web.png)
最終的に実行されるマルウェアは、LummaC2 マルウェアであり、ブラウザや仮想通貨のような情報の窃取が可能である。
[図6] C2 通信する LummaC2
また、LummaC2 はクリップボードをモニタリングして、仮想通貨のウォレットアドレスがコピーされる場合、攻撃者のウォレットアドレスに変更する ClipBanker をモジュールとして活用することもある。
[図7] ClipBanker
偽の CAPTCHA ページから配布される LummaC2 マルウェアは、主にクラックプログラムのダウンロードページやフィッシングメールを通じて拡散するため、ユーザーは出どころが不明な電子メールや Web サイトを利用する際は、特に注意が必要である。
IOC 関連情報
MD5
3099830291f5dfb199b1f6649997fb45
3734e365ab10e73a85320916ba49c3ee
af46bc7df8441c09296666f0053fb000
e7677ec2ca8706708bcd64b7b8e7111d
URL
https[:]//cc[.]klipjaqemiu[.]shop/web[.]png
https[:]//klipjaqemiu[.]shop/web44[.]mp4
https[:]//noisercluch[.]click/api
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア