マルウェアの情報

不正なマクロコードを「さらに」隠したExcelファイルの拡散 – very hidden

新たな方式で不正なマクロコードを隠した Excel ファイルが発見された。今回のファイルは Excel4.0(XLM) マクロシートを利用しているが、従来の不正なマクロシートを単純に隠していた方式から、一般的なユーザーインターフェースでは隠し属性を解除できないように変更された。VBA マクロコード方式を利用しているわけでもなく、XLM マクロシートを直接確認することもできないため、文書内のどこにマルウェアの存在有無を即座に確認することが困難である。  ファイル名 -invoice_805274.xls 生成日 -2020-03-09 15:30:32…

新天地イエス教会の緊急連絡先に偽装したBisonalマルウェアが拡散中

AhnLab ASEC 分析チームは現在、韓国で話題となっている新天地イエス教会に関連するマルウェアが出回っていることを確認した。拡散ファイル名は xlsx または ppt の文書ファイルに見えるが、Unicode RLO(Right to Left Override)方式を利用してファイル拡張子を別の形式のように表示している。実際の不正なファイルは *.scr…

見積や購入内容のメールに偽装して拡散するFormbookマルウェア

Formbook マルウェアは、2017年に初めて報告されて以降、現在まで拡散し続けている情報奪取型マルウェアである。最近では主に見積や購入関連のメールに偽装して拡散している。メールには圧縮された添付ファイルが含まれており、圧縮ファイル内部にはマルウェアの実行ファイルが存在する。単純な方法で拡散しているが、拡散量はマルウェアサンプル全体の中でも大きな割合を占めているため、注意が必要である。 AhnLab ASEC 分析チームでは、Formbook マルウェアの拡散に使用されている代表的な不正メールと、添付されたマルウェアに対する解析情報を紹介する。 不正なメールは、主に見積、購入、注文、発注、船積等のキーワードで出回っており、ユーザーがメールを開いて添付ファイルを実行するとマルウェアに感染する。圧縮ファイル内部のマルウェアは Delphi のアウトラインによってパッキングされており、パッカーは自分自身に対して再帰の実行をしたあと、内部にエンコードされた Formbook バイナリをインジェクションして実行する役割を行う。 Delphi…

見積書に偽装した情報流出型マルウェアが拡散中(Google Drive利用)

AhnLab ASEC 分析チームは2020年3月4日、見積書に偽装した情報奪取型(キーボード入力値の流出)マルウェアが拡散していることを確認した。2次マルウェアのダウンロードアドレスが、一般人がよく使用する Google Drive(https://drive.google.com) を利用している点も、正常な行為に偽装するためのものと推定される。このマルウェアは、当社が以前公開した AutoCAD 図面ファイル(dwg)に偽装した以下のマルウェアと同じタイプであると確認された。 以下の [図1] のように、メール内部に正常な見積書の画像(img)ファイルが添付されており、その画像ファイル内部には不正な実行ファイルが存在する。 不正なファイルが実行されると、以下のように自身をコピーして、コピーしたファイルを実行する機能の…

偽のWindows画面と共にインストールされる新種のランサムウェア、韓国国内で発見(*.rezm拡張子)

AhnLab ASEC 分析チームは2020年3月2日、偽の Windows アップデート画面と共にインストールされる新種のランサムウェアを発見した。このランサムウェアは、既に韓国の国内で広く出回っている Bluecrab、Nemty、Paradise というランサムウェアと同じパッカー(Packer)を使用して拡散しており、暗号化されたファイルは拡張子に .rezm が追加される特徴を持つ。 ファイルを実行すると、以下のアドレスから Fake の Windows アップデートファイルをダウンロードして実行し、ユーザーには Windows…