AhnLab SEcurity intelligence Center(ASEC)では、最近、クレジットカード会社のセキュリティメール 認証ウィンドウに偽装してユーザー情報を窃取する不正な LNK ファイルが配布されている状況を確認した。確認された不正な LNK ファイルは、以下のようにクレジットカード会社を偽装したファイル名を持っている。
- **card_detail_20250610.html.lnk
これまでは PowerShell スクリプトを活用してキーロギングおよび情報窃取を実行してきたが、今回は DLL ファイルをダウンロードしてキーロギングおよび情報窃取を実行するという点が特徴である。また、LNK ファイルが動作するときに正常なファイルを同時に実行させるため、ユーザーが不正であることに気づかないようにする特徴があり、このとき実行させる正常なファイルをデコイファイルと呼ぶ。従来は正常なデコイファイルとして主にドキュメントフォーマットのファイルが使用されてきたが、今回の事例では例外的に HTML ファイルを使用した。
ユーザーが LNK ファイルを実行すると、攻撃者のサーバーから追加 HTA ファイルとおとりドキュメント(HTML)を temp フォルダーにダウンロードして実行し、おとりドキュメントは以下の通りである。
[図1] カード会社のセキュリティメール認証画面に偽装したおとりドキュメント
HTA ファイルが実行されると、不正な DLL ファイル(sys.dll)と不正なファイルダウンロード URL が含まれたテキストファイル(user.txt)が C:\Users\{ユーザー名}\AppData\Local フォルダーに作成される。その後 rundll32.exe を通じて不正な DLL が実行され、悪性の振る舞いが実行される。
[図2] 追加ファイルのダウンロード URL
sys.dll は user.txt に含まれている URL を参照して合計3つの DLL ファイル(app, net, notepad.log)をダウンロードする。3つの DLL ファイルはすべて Reflective 手法を通じて実行され、そのうち app ファイルは実行中の chrome.exe プロセスにインジェクションされる。Reflective 手法は DLL をメモリに直接マッピングして実行するため検知が困難で、マルウェアでよく利用される手法である。app と net は情報窃取(Infostealer)タイプのマルウェアであり、notepad.log はバックドア(Backdoor)タイプのマルウェアである。各ファイルの主な機能は以下の通りである。
| ファイル名 | 機能 |
| app | chrome、brave、edge ブラウザ情報の窃取 |
| net | chrome、opera、firefox、google、yahoo、facebook、outlook 情報の窃取 |
| notepad.log | リモートシェルコマンドの実行 |
| ファイルリストの収集 | |
| ファイル流出 | |
| ファイルのダウンロード | |
| キーロギングデータの送信 |
[表2] ファイル別の機能
notepad.log はキーロギングデータを C:\Users\{ユーザー名}\AppData\Local\netkey パスに保存する。[図3]はメモリ上で確認されたキーロギングデータである。
[図3] メモリ上に存在するキーロギングデータ
이처럼 정상적인 문서나 메일로 위장한 악성 LNK 파일이 지속적으로 유포되고 있으며, 사용자로 하여금 의심 없이 파일을 실행하도록 유도하는 방식이 점점 정교해지고 있다. 최근에는 신뢰도가 높은 기관을 모방해 사용자들의 각별한 주의가 요구된다.
このように、正常なドキュメントやメールに偽装した不正な LNK ファイルが持続的に配布されており、ユーザーに疑うことなくファイルを実行させるように誘導する方式が徐々に精巧になっている。最近には、信頼度の高い機関を模倣しているため、ユーザーの特に注意が必要である。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized