COVID-19の予測結果に偽装した不正な文書(xls)が拡散中

今年、COVID-19 に関連したテーマのマルウェアが絶えず発見されているなか、今回も AhnLab ASEC 分析チームでは「COVID-19予測結果」に関する内容でユーザーを騙し、メールと文書を閲覧するように誘導した攻撃を確認した。フィッシングメールを通じて出回っており、このメールには不正なExcel文書が添付されている。   添付された不正な Excel ファイルは国別の COVID-19 の感染者および死亡者の数を確認できる内容が含まれており、特に累積死亡者の人数確認を希望するユーザーは、Excel 内部にある計算ボタン(「Predict」)を選択するために、マクロ機能を有効化するボタンを選択するしかない。 しかし、この累積計算を実行する正常なマクロコードの下位には不正なファイルをダウンロードする難読化されたコードが含まれている。このコードを復号化したあと、CMD…

裁判所判決内容の不正なExcel(XLS)ファイルの拡散:KONNI組織

AhnLab ASEC 分析チームは、不正なマクロを含めてユーザー情報を流出させる Excel ファイルを収集した。この Excel 文書はユーザーにマクロを使用するように誘導し、マクロを実行すると「訪問販売法違反ほう助による罰金を払うように」という裁判所の判決に関連した内容を含むExcel文書を再度実行させ、ユーザーが感染した事実を認知しにくくしている。マルウェアの動作方式が KONNI 組織として知られている APT 攻撃グループの使用していたものと類似した特徴を持っている。 [ファイル情報]●…

Googleにおけるキーワード検索でフィッシングページに誘導するCoinMinerが拡散中

GoogleでCrack、Keygen、シリアルナンバー等のキーワードを検索すると上部に表示されるフィッシングページを通して、暗号通貨採掘のためのマイナー(Miner)マルウェアが出回っている。関連資料は昨年12月頃に Avira でも公開されており、フィッシングページの場合は韓国語のページも提供されているため、韓国国内のユーザーも相当数が感染したことが確認された。 [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] Google 検索を通して感染する全体的なフローは以下の [図1] の通りである。 フィッシングページでマルウェアが含まれている圧縮ファイル(*.ZIP)をダウンロードし、内部の実行ファイル(*.EXE)を実行する場合、上記の過程を経て最終的に「TiWorker.exe」というプロセスによりコインマイニング(暗号通貨の採掘)が行われる。「TiWorker.exe」というファイルは正常な Windows システムファイルであり、Windows ソフトウェア、ハードウェア、ドライバのアップデートファイルである。マルウェアの製作者はこれらの不正な行為を隠蔽するために正常な…

RigEKを利用したAvaddonランサムウェア、韓国国内で拡散中(*.avdn拡張子)

6月初めに以下の海外サイトを通して、Avaddon という名前の新種のランサムウェアに関する記事が紹介された。6月8日から韓国国内で RigEK(Rig Exploit Kit) を利用したマルウェアの拡散数が急増したことを確認しており、このランサムウェアが韓国国内でも拡散していることが確認された。 (6月7日) sensorstechforum.com/avaddon-virus-remove/ (6月8日) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/ 以下の [図1] は、RigEK に対する…

特定企業の環境でのみ動作するように設計されたSnakeランサムウェア

最近、企業をターゲットにした Snake ランサムウェアが拡散している。まだ、韓国国内で確認された事例はないものの、ドイツ、イタリア、日本等の多くの国の企業をターゲットに攻撃事例が出ているため、韓国国内の企業も注意が必要である。 Snake ランサムウェアは Go 言語で開発されている。Go 言語で開発されたマルウェアは以前から増加し続けており、最近拡散しているマルウェアは解析妨害のための難読化手法が使用されている。以下のように、Snake ランサムウェアも同様に関数名がすべてランダムな文字列に変更されている。 昨年末に確認された Snake ランサムウェアは一般的なランサムウェアと同じく、実行時に特別な条件を挟まずに暗号化を実行する。しかし、今年5月から確認されたサンプルはすべて、現在の実行環境が企業ネットワーク内かどうかを確認する。…