著作権侵害に関するドキュメントに偽装した Infostealer マルウェアが韓国国内で拡散中

AhnLab SEcurity intelligence Center(ASEC) では、法的責任や著作権侵害の事実が記録された資料に偽装した Infostealer マルウェアが韓国国内に持続的に拡散している状況を確認した。主に電子メール内の添付リンクを通じて拡散し、メールの本文には著作権侵害の証拠資料をダウンロードするように誘導した。

• 電子メール内の添付リンク (1)
  hxxps://tr[.]ee/3FKnsw
• 電子メール内の添付リンク (2)
  hxxps://laurayoung2169944-dot-yamm-track.appspot[.]com/2gwdQgyj0E2vzqvbGg2Q8Vfawz52qe38tVH-Y92ZoVgBqJibClgEzOCbYyqGbTJh0dKhw8GQbFc_Fesz7f9zrLq-2V-eP1KMh9_AEWIYxXvJBaYeQMZELdDvNm3D-jXjmCZhpz_vekp6k6wRmVhQAy8E8tvBKAmido8oujb3kXgIEfYHLKv2LcSBPU3qzwd3tG0yoQroSnpBWvxoJ0Cigir-WRpFZtmNqF9GzWiYvcbQYCA_FW112o2ZfGIvFBZS2YBmvm5iJcYtbCXPbhF_PffE2uiWA

[図1] 配布メール (1)

[図2] 配布メール (2)

拡散しているマルウェアは、実行方式に応じて大きく2つのタイプに分かれ、すべて圧縮ファイル形式で配布される特徴がある。

タイプ1 : DLL Side-Loading

1つ目のタイプは、DLL Side-Loading 手法を利用する。DLL Side-Loading 手法は、正常な応用プログラムとそのプログラムが参照する不正な DLL を同じフォルダーに配置し、正常な応用プログラムが実行されるとき、不正な DLL も同時に実行されるようにする手法である。拡散しているファイル名の一部は以下の通りである。

• 配布ファイル名
  確実な証拠は、犯罪行為を確認するのに助けになります.zip
  所有権保護を裏付ける証拠.zip
  調査で判明した証拠.zip
  知的財産権侵害に関するドキュメントおよび証拠.zip
  知的財産権侵害を証明する書類.zip
  捜査ファイルの証拠.zip
  知識再削減権侵害捜査のための証拠資料.zip
  違反事実を証明する書類.zip
  違反事項調査証拠.zip
  著作権侵害の証拠および資料情報.zip
  調査で記録された証拠.zip
  警察捜査官と検察から収集された結果.zip
  検察捜査結論.zip

[図3] 配布ファイル (1)

[図4] 配布ファイル (2)

[図5] 配布ファイル (3)

圧縮ファイルの内部には、正常な EXE(PDF Reader プログラム)と不正な DLL が含まれている。ユーザーが EXE ファイルを実行すると、不正な DLL がロードされ、Infostealer マルウェアである Rhadamanthys が動作する。Rhadamanthys は、Windows システムの正常なプログラムにインジェクションを実行し、最終的に電子メール、FTP、オンラインバンキングサービスなどと関連する情報を窃取し、攻撃者のサーバーに転送する。

• インジェクション対象プロセス
  %Systemroot%\system32\openwith.exe
  %Systemroot%\system32\dialer.exe
  %Systemroot%\system32\dllhost.exe
  %Systemroot%\system32\rundll32.exe

タイプ2 : 二重拡張子

2つ目のタイプは、二重拡張子を使用してドキュメントファイルに偽装した形態である。ほとんどの OS は、基本的に拡張子を隠すため、「.pdf.exe」、「.docx.exe」のような EXE ファイルが「.pdf」、「.docx」として表示されるため、ドキュメントファイルに偽装できる。拡散しているファイル名の一部は以下の通りである。

• 配布ファイル名
  著作権侵害に関する証拠および詳細資料.zip
  違反を立証する書類が収集されました(1).zip
  著作権侵害情報および資料情報.zip

[図6] 配布ファイル (3)

[図7] 配布ファイル(4)

[図8] 配布ファイル (5)

圧縮ファイルの内部には、不正な EXE ファイルとテキストファイルが含まれている。EXE ファイルは二重拡張子を利用して PDF ドキュメントに偽装しており、テキストファイルには不正な EXE ファイルを実行するように誘導する文句が含まれている。ユーザーが不正な EXE ファイルを実行すると、Infostealer マルウェアが動作し、Powershell コマンドを通じて特定のプロセスを終了させる。最終的にブラウザのアカウント情報、画面キャプチャなどのユーザー情報を窃取し、攻撃者のサーバーに転送する。

• 終了対象プロセス
  ksdumperclient, regedit, ida64, vmtoolsd, vgauthservice, wireshark, x32dbg, ollydbg, vboxtray, df5serv, vmsrvc, vmusrvc, taskmgr, vmwaretray, xenservice, pestudio, vmwareservice, qemu-ga, prl_cc, prl_tools, joeboxcontrol, vmacthlp, httpdebuggerui, processhacker, joeboxserver, fakenet, ksdumper, vmwareuser, fiddler, x96dbg, dumpcap, vboxservice

[図9] テキストファイル

さらに、捜査資料および著作権侵害に偽装した Infostealer タイプは、海外でも同様の形で拡散しており、対象国はタイ、ハンガリー、ポルトガル、ギリシャ、日本などが確認された。

• 配布ファイル名
  違反を示す証拠/違反を示す証拠.pdf.exe (違反を示す証拠.pdf.exe)
  -เอกสารร้องเรียนเกี่ยวกับการละเมิดลิขสิทธิ์.exe (著作権侵害申告書類.exe)
  A nyomozási folyamat bizonyítéka.exe (調査過程の証拠..exe)
  Prova de violação após investigação.exe (調査後変造証拠.exe)
  Αποδεικτικά στοιχεία παραβίασης .exe (違反証拠.exe)

配布されているファイル名は、ユーザーに心理的圧迫や恐怖心を感じさせることでファイルを実行するように誘導しており、正常なプログラムを実行しても不正な DLL が同時にロードされる可能性があるため、メールやメッセンジャーなどで受け取った疑わしいファイルは実行しないようにする必要がある。