[注意]KMSAuto認証ツールに偽装して拡散しているVidarインフォスティーラー

Posted By ,

AhnLab ASEC 分析チームは最近、Vidar インフォスティーラー(情報搾取型マルウェア)がKMSAuto、KMSPico 認証ツールに偽装したマルウェアによって拡散していることを確認した。ユーザーは Windows のライセンス認証を目的として認証ツールを使用するが、実際にはインフォスティーラー(情報搾取型マルウェア)によりWebブラウザ、FTP クライアント、ウォレットのアドレスを含む多数のユーザー情報が攻撃者に流出することがあり、ダウンローダー機能を持つ Vidar の特性上、追加のマルウェアがダウンロードされ、インストールされることがある。 KMSAuto、KMSPico は…

韓国国内の学術大会シーズンを狙ったアレアハングル(HWP)ドキュメントによるマルウェアが拡散中

Posted By ,

AhnLab ASEC 分析チームは5月、様々なテーマ別に出回っているアレアハングル(HWP)ドキュメントのマルウェアに関して、ブログで共有した。「不動産関連」というタイトルで拡散していたものから、最近では韓国国内の学術大会の日程に合わせ、論文や学術関連のタイトルによるマルウェアが製作されていることが確認された。 現在までに確認された不正なアレアハングルドキュメントのタイトルは以下の通り2種類であり、上記ブログで分類したテーマのうち、「その他」の項目に該当する手法であると確認された。このアレアハングルドキュメントの特徴は、実行するとユーザーに正常な本文内容が表示されず、不正な2次ファイルのダウンロード行為のみが実行される点である。 2020_XXXX_超伝導論文.hwp 学術大会.hwp マルウェアの製作者は、韓国国内の学会誌の夏季論文投稿期間が主に5月から7月までであることを狙ったものであると推定される。収集された不正な HWP ファイルは、以前紹介した内部 EPS(Encapsulated PostScript)スクリプトと不正な行為が同一であることがわかる。 アンチウイルスプログラムによる診断を回避するために、スクリプト内部にスペースを追加したり、変数名を変えて拡散している。さらに、最も重要なシェルコードおよび…

不正なアレアハングルドキュメント(.hwp)のテーマ別関連性分析

Posted By ,

AhnLab ASEC 分析チームでは以前、ブログを通して最近3か月間で出回っている不正なアレアハングルドキュメントのタイトルの変化について共有した。今回は、分類されたタイトルカテゴリー間の関連性が確認されたため、それに関して詳しく説明する。 テーマ1、テーマ2、テーマ3の関連性 以前のブログで触れたテーマ1(COVID-19関連)、テーマ2(不動産関連)、テーマ3(潮力/風力/水力関連)、この3つのテーマの代表的なHWPファイルに類似性が確認されたが、テーマ2、テーマ3の場合、EPS(Encapsulated PostScript)が動作する核心的なシェルコードのコマンドパターンが類似しており、テーマ1、テーマ3の場合は EPS 序盤のデータ保存および実行方式が類似している。また、テーマ1、テーマ2の場合は最終的にダウンロードされた PE の一部のデータに類似する String が使用され、この3つのテーマの…

不動産投資関連のメールで拡散しているHWPマルウェア(EPSを使用)

Posted By ,

今年4月から増加した不正な HWP ファイルの拡散がいまだに続いている。AhnLab ASEC 分析チームは、先週から不動産投資関連の内容に偽装したアレアハングルドキュメント(.HWP)がメールを通して出回っていることを報告する。不動産投資に関連した件名のメールに複数のアレアハングルドキュメントを添付しており、この添付ファイルの中に不正な HWP ファイルが含まれている。   メール本文やドキュメントの内容を本物のように作成し、ユーザーを油断させたあと、不正な HWP ファイルを実行する。実行された HWP ファイルは内部にある不正なポストスクリプト(EPS)が動作することで、不正な機能を実行する。この…

仮想通貨業者の人材募集フォームを装ったWord文書によるマルウェアが拡散中

Posted By ,

5月8日、このブログで掲載した内容の通り、メールを通して韓国国内のゲーム企業の証明書を盗用したマルウェアが出回っている件について共有した。当社 ASEC 分析チームでは、この種類のマルウェアが若干変形した形で、依然として様々なタイトルで出回っていることを確認したため、これに関して追加の内容を報告する。 このマルウェアは文書内容に仮想通貨業者の人材募集フォームを使用していた。 また「調整内容」という文書のタイトルを使用して各ユーザーが変更された内容を確認するために文書を閲覧するように誘導するものとみられ、文書タイトルから見たところ、特定の企業に対してそれぞれ異なるタイトルで拡散しているものと推定される。 出回っている文書タイトルの形式 – **news調整内容.docx – 内部調整.docx – **bit新入社員入力フォーム.docx このドキュメントの動作構造も、以前の方式と同じである。原本ドキュメントから追加でダウンロードした文書ファイルを通してネットワーク接続を試みる。このときに受け取ったファイルによって最終的に不正な DLL が動作する。…

韓国国内大型ゲーム企業の証明書盗用マルウェア、文書ファイルを通して拡散

Posted By ,

AhnLab ASEC 分析チームは、先月賞与金発行請求書に偽装した不正な文書に関するブログ記事を掲載した。今回、同じ種類のマルウェアが追加で確認され、以下の通り情報を公開する。 今回に確認された文書ファイルは、メールによって拡散した履歴が確認された。送信者のメールアドレスを特定報道機関のメールアドレスに詐称したものと思われる。最後に、最終的に実行される不正な DLL は、韓国国内の大型ゲーム企業の証明書を盗用して正常なファイルに偽装しようとしていたという特異点がある。 文書WORD1は、実行すると [図1] のように Microsoft が提供する案内メッセージ画面が表示されるが、これは単純にキャプチャされた画像ファイルであり、その画像の透明度を調節して背面の表をやや隠した状態で文書内容が構成されている。この文書ファイルを開くと、settings.xml.rels に記載された以下の…