5か月ぶりに戻ってきたEmotetマルウェア!!韓国国内で拡散中

Posted By ,

AhnLab ASEC 分析チームは本日、Emotet マルウェアが韓国国内で出回っていることを確認した。バンキングマルウェアである Emotet は今年2月を最後に拡散を中断していたが、5か月が経過した現在、再び拡散が始まったものと見られ、ユーザーの注意が必要である。 拡散手法は以前と同じように、フィッシングメールによって出回っている。メールのタイプは3種類が存在し、ダウンロードリンクが添付された形式と PDF ファイルが添付された形式、不正な文書ファイルが添付された形式に分けられる。添付されたリンクに接続すると、不正な文書ファイルをダウンロードすることになる。 メールには DOC ファイルだけでなく、PDF…

COVID-19の予測結果に偽装した不正な文書(xls)が拡散中

Posted By ,

今年、COVID-19 に関連したテーマのマルウェアが絶えず発見されているなか、今回も AhnLab ASEC 分析チームでは「COVID-19予測結果」に関する内容でユーザーを騙し、メールと文書を閲覧するように誘導した攻撃を確認した。フィッシングメールを通じて出回っており、このメールには不正なExcel文書が添付されている。   添付された不正な Excel ファイルは国別の COVID-19 の感染者および死亡者の数を確認できる内容が含まれており、特に累積死亡者の人数確認を希望するユーザーは、Excel 内部にある計算ボタン(「Predict」)を選択するために、マクロ機能を有効化するボタンを選択するしかない。 しかし、この累積計算を実行する正常なマクロコードの下位には不正なファイルをダウンロードする難読化されたコードが含まれている。このコードを復号化したあと、CMD…

裁判所判決内容の不正なExcel(XLS)ファイルの拡散:KONNI組織

Posted By ,

AhnLab ASEC 分析チームは、不正なマクロを含めてユーザー情報を流出させる Excel ファイルを収集した。この Excel 文書はユーザーにマクロを使用するように誘導し、マクロを実行すると「訪問販売法違反ほう助による罰金を払うように」という裁判所の判決に関連した内容を含むExcel文書を再度実行させ、ユーザーが感染した事実を認知しにくくしている。マルウェアの動作方式が KONNI 組織として知られている APT 攻撃グループの使用していたものと類似した特徴を持っている。 [ファイル情報]●…

Googleにおけるキーワード検索でフィッシングページに誘導するCoinMinerが拡散中

Posted By ,

GoogleでCrack、Keygen、シリアルナンバー等のキーワードを検索すると上部に表示されるフィッシングページを通して、暗号通貨採掘のためのマイナー(Miner)マルウェアが出回っている。関連資料は昨年12月頃に Avira でも公開されており、フィッシングページの場合は韓国語のページも提供されているため、韓国国内のユーザーも相当数が感染したことが確認された。 [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] Google 検索を通して感染する全体的なフローは以下の [図1] の通りである。 フィッシングページでマルウェアが含まれている圧縮ファイル(*.ZIP)をダウンロードし、内部の実行ファイル(*.EXE)を実行する場合、上記の過程を経て最終的に「TiWorker.exe」というプロセスによりコインマイニング(暗号通貨の採掘)が行われる。「TiWorker.exe」というファイルは正常な Windows システムファイルであり、Windows ソフトウェア、ハードウェア、ドライバのアップデートファイルである。マルウェアの製作者はこれらの不正な行為を隠蔽するために正常な…

[注意]KMSAuto認証ツールに偽装して拡散しているVidarインフォスティーラー

Posted By ,

AhnLab ASEC 分析チームは最近、Vidar インフォスティーラー(情報搾取型マルウェア)がKMSAuto、KMSPico 認証ツールに偽装したマルウェアによって拡散していることを確認した。ユーザーは Windows のライセンス認証を目的として認証ツールを使用するが、実際にはインフォスティーラー(情報搾取型マルウェア)によりWebブラウザ、FTP クライアント、ウォレットのアドレスを含む多数のユーザー情報が攻撃者に流出することがあり、ダウンローダー機能を持つ Vidar の特性上、追加のマルウェアがダウンロードされ、インストールされることがある。 KMSAuto、KMSPico は…

韓国国内の学術大会シーズンを狙ったアレアハングル(HWP)ドキュメントによるマルウェアが拡散中

Posted By ,

AhnLab ASEC 分析チームは5月、様々なテーマ別に出回っているアレアハングル(HWP)ドキュメントのマルウェアに関して、ブログで共有した。「不動産関連」というタイトルで拡散していたものから、最近では韓国国内の学術大会の日程に合わせ、論文や学術関連のタイトルによるマルウェアが製作されていることが確認された。 現在までに確認された不正なアレアハングルドキュメントのタイトルは以下の通り2種類であり、上記ブログで分類したテーマのうち、「その他」の項目に該当する手法であると確認された。このアレアハングルドキュメントの特徴は、実行するとユーザーに正常な本文内容が表示されず、不正な2次ファイルのダウンロード行為のみが実行される点である。 2020_XXXX_超伝導論文.hwp 学術大会.hwp マルウェアの製作者は、韓国国内の学会誌の夏季論文投稿期間が主に5月から7月までであることを狙ったものであると推定される。収集された不正な HWP ファイルは、以前紹介した内部 EPS(Encapsulated PostScript)スクリプトと不正な行為が同一であることがわかる。 アンチウイルスプログラムによる診断を回避するために、スクリプト内部にスペースを追加したり、変数名を変えて拡散している。さらに、最も重要なシェルコードおよび…

不正なアレアハングルドキュメント(.hwp)のテーマ別関連性分析

Posted By ,

AhnLab ASEC 分析チームでは以前、ブログを通して最近3か月間で出回っている不正なアレアハングルドキュメントのタイトルの変化について共有した。今回は、分類されたタイトルカテゴリー間の関連性が確認されたため、それに関して詳しく説明する。 テーマ1、テーマ2、テーマ3の関連性 以前のブログで触れたテーマ1(COVID-19関連)、テーマ2(不動産関連)、テーマ3(潮力/風力/水力関連)、この3つのテーマの代表的なHWPファイルに類似性が確認されたが、テーマ2、テーマ3の場合、EPS(Encapsulated PostScript)が動作する核心的なシェルコードのコマンドパターンが類似しており、テーマ1、テーマ3の場合は EPS 序盤のデータ保存および実行方式が類似している。また、テーマ1、テーマ2の場合は最終的にダウンロードされた PE の一部のデータに類似する String が使用され、この3つのテーマの…