裁判所判決内容の不正なExcel(XLS)ファイルの拡散:KONNI組織

AhnLab ASEC 分析チームは、不正なマクロを含めてユーザー情報を流出させる Excel ファイルを収集した。この Excel 文書はユーザーにマクロを使用するように誘導し、マクロを実行すると「訪問販売法違反ほう助による罰金を払うように」という裁判所の判決に関連した内容を含むExcel文書を再度実行させ、ユーザーが感染した事実を認知しにくくしている。マルウェアの動作方式が KONNI 組織として知られている APT 攻撃グループの使用していたものと類似した特徴を持っている。 [ファイル情報]●…

Googleにおけるキーワード検索でフィッシングページに誘導するCoinMinerが拡散中

GoogleでCrack、Keygen、シリアルナンバー等のキーワードを検索すると上部に表示されるフィッシングページを通して、暗号通貨採掘のためのマイナー(Miner)マルウェアが出回っている。関連資料は昨年12月頃に Avira でも公開されており、フィッシングページの場合は韓国語のページも提供されているため、韓国国内のユーザーも相当数が感染したことが確認された。 [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] Google 検索を通して感染する全体的なフローは以下の [図1] の通りである。 フィッシングページでマルウェアが含まれている圧縮ファイル(*.ZIP)をダウンロードし、内部の実行ファイル(*.EXE)を実行する場合、上記の過程を経て最終的に「TiWorker.exe」というプロセスによりコインマイニング(暗号通貨の採掘)が行われる。「TiWorker.exe」というファイルは正常な Windows システムファイルであり、Windows ソフトウェア、ハードウェア、ドライバのアップデートファイルである。マルウェアの製作者はこれらの不正な行為を隠蔽するために正常な…

RigEKを利用したAvaddonランサムウェア、韓国国内で拡散中(*.avdn拡張子)

6月初めに以下の海外サイトを通して、Avaddon という名前の新種のランサムウェアに関する記事が紹介された。6月8日から韓国国内で RigEK(Rig Exploit Kit) を利用したマルウェアの拡散数が急増したことを確認しており、このランサムウェアが韓国国内でも拡散していることが確認された。 (6月7日) sensorstechforum.com/avaddon-virus-remove/ (6月8日) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/ 以下の [図1] は、RigEK に対する…

特定企業の環境でのみ動作するように設計されたSnakeランサムウェア

最近、企業をターゲットにした Snake ランサムウェアが拡散している。まだ、韓国国内で確認された事例はないものの、ドイツ、イタリア、日本等の多くの国の企業をターゲットに攻撃事例が出ているため、韓国国内の企業も注意が必要である。 Snake ランサムウェアは Go 言語で開発されている。Go 言語で開発されたマルウェアは以前から増加し続けており、最近拡散しているマルウェアは解析妨害のための難読化手法が使用されている。以下のように、Snake ランサムウェアも同様に関数名がすべてランダムな文字列に変更されている。 昨年末に確認された Snake ランサムウェアは一般的なランサムウェアと同じく、実行時に特別な条件を挟まずに暗号化を実行する。しかし、今年5月から確認されたサンプルはすべて、現在の実行環境が企業ネットワーク内かどうかを確認する。…

[注意]KMSAuto認証ツールに偽装して拡散しているVidarインフォスティーラー

AhnLab ASEC 分析チームは最近、Vidar インフォスティーラー(情報搾取型マルウェア)がKMSAuto、KMSPico 認証ツールに偽装したマルウェアによって拡散していることを確認した。ユーザーは Windows のライセンス認証を目的として認証ツールを使用するが、実際にはインフォスティーラー(情報搾取型マルウェア)によりWebブラウザ、FTP クライアント、ウォレットのアドレスを含む多数のユーザー情報が攻撃者に流出することがあり、ダウンローダー機能を持つ Vidar の特性上、追加のマルウェアがダウンロードされ、インストールされることがある。 KMSAuto、KMSPico は…