税金計算書を装って配布される Remcos RAT マルウェア Posted on 2022年 March 7日 ASEC 分析チームは、税金計算書を装った Remcos RAT マルウェアが配布されている状況を確認した。フィッシングメールの内容とタイプは過去に当ブログを通じて何度も共有してきた形式と大きく変わらない。メール本文には、ぎこちない文法で書かれた短いメッセージが含まれている。ただし関連する業務に従事している場合、メールの内容はあまり意に介さずに何気なく添付ファイルを開いてしまう可能性があるため、注意が必要である。 添付ファイル「Tax.gz」を解凍すると、「Tax.com」という実行ファイルが存在しており、デバッグによってファイル内部を確認したところ、以下のようなコードを確認できた。実行環境が64ビットである場合「hxxp://zhost.polycomusa[.]com/Chrimaz.exe」から当該環境に適合する不正なファイル(1df2bf9313decafd0249d6a4556010bc)をダウンロードして実行し、そうでない場合は「3xp1r3Exp.ps1」という PowerShell ファイルをダウンロードしてさらなる不正な振る舞いを実行する。 この PowerShell スクリプトは以下の図4)に示す通り UAC…
韓国国内の有名ポータルサービスを装ったフィッシングメール Posted on 2022年 February 10日 ASEC 分析チームは最近、韓国国内の有名なポータルサービスを騙り、利用者の情報を収集するフィッシングメールを確認した。このフィッシングメールの内容は、メールボックスの容量アップグレードを要求し、リンクのクリックを誘導するものになっている。このリンクをクリックすると、パスワードの入力を誘導するフィッシングサイトにリンクする。 メールの件名および本文は以下の通りであり、接続したリンクからフィッシングサイトに移動する。 本文内に埋め込まれているリンクをクリックして接続すると、以下のような韓国国内の有名ポータルサービスを装ったフィッシングサイトにリンクする。 フィッシングサイトの URL : hxxp://www.eylulrentacar[.]com/indexh.html 正常なポータルサービスのログイン画面とは異なり、フィッシングサイトはワンタイムパスワード、QR コード、パスワードの確認、ID の確認、会員登録のような機能を提供していないことが確認できる。 その後、フィッシングサイトではログインボタンを通して…
様々なグループウェアを詐称して拡散するフィッシングスクリプトファイル Posted on 2022年 February 7日 昨年5月、ASEC 分析チームでは TI 分析レポートと ASEC ブログを通じて「韓国国内のメールサービスのユーザーをターゲットにしたフィッシングサイト」について紹介した。当時は、NAVER ワークス(NAVER WORKS)/メールプラグ(MAILPLUG)/ハイワークス(hiworks)/千里眼/Daum のユーザーを対象に、ユーザー情報を流出させた内容について紹介した。 企業用グループウェアのログインページを装ってユーザーのアカウント情報を流出させるためのファイルは、かなり頻繁に拡散してきたフィッシングタイプのうちの一つであり、メールタイトル、内容/添付ファイル名/スクリプトコード等において微小な変形を使用している。 韓国国内のユーザーが多く利用するこれらのグループウェアを詐称している点は同じだが、今回は攻撃者がより簡単な方式を利用して、同じスクリプトファイルを受信者に合わせて様々なファイル名に変えて配布している状況が確認された。また、類似したスクリプトコードのフォーマットを使用し、NAVER ワークス(NAVER…
韓国国内の研究機関および企業をターゲットとするフィッシングメールの拡散 Posted on 2021年 December 6日 ASEC 分析チームでは、韓国国内の研究機関と企業をターゲットとしてパスワードを窃取するフィッシングメールの拡散を確認した。このフィッシングメールは国際運送業者を詐称しており、通関情報の提出、添付ファイルの閲覧等を要求し、リンクのクリックを誘導する内容で構成されている。メール内に含まれているリンクをクリックすると、パスワードの入力を誘導するフィッシングページにリンクする。同じドメインを使用して、研究機関だけでなく複数の企業をターゲットとして配布された状況も確認されており、注意が必要である。 収集されたサンプルは、以下のように貨物到着(予定)のお知らせに関するメールを装っており、有名な海外の運送会社を詐称している。本文の内容では通関情報を入力するためにリンクをクリックするよう促しており、当該リンクをクリックするとフィッシングページにリンクする。 もう一つのサンプルでは、以下の画像のようにメール本文に添付ファイルが存在するかのように偽装している。添付ファイル情報に見える部分は実際には画像ファイルで、ハイパーリンクが挿入されており、クリックするとフィッシングページにリンクするようになっている。こちらも同じく、有名な運送会社を詐称している。 フィッシングページではセッションの有効期限が切れているというメッセージを表示し、パスワードの入力を誘導する。ユーザーが入力したパスワードは GET 方式によって攻撃者のサーバーに送られる。上記サンプルにおいて使用されたフィッシングページのアドレス形式は以下の通りである。 hxxp://survoltropic[.]pt/consequuntursed/koream/koream.php?main_domain=[リダイレクト URL]&email=[メールアカウント]&subdomain=[URL] フィッシングページは Iframe によって[リダイレクト…
マクロシートを利用した不正な Excel が韓国国内で拡散中 (2) Posted on 2021年 November 8日 ASEC 分析チームは、マクロシート(Excel 4.0 Macro)を利用した不正な Excel ドキュメントがフィッシングメールを通じて韓国国内に多数出回っている状況を確認した。マクロシートを利用した方法はマルウェア配布者がよく使用する方式であり、SquirrelWaffle / Qakbot を始めとする様々なマルウェアの配布にも使用された実績が存在する。 https://asec.ahnlab.com/ko/16708/(韓国語のみ提供) マクロシートを活用したマルウェアに関しては、上記のように本ブログを通して複数回にわたり紹介してきた。今回紹介する形式も配布方式に大きな変化は見られないが、類似した形式のファイル名により大量に配布されている状況が確認されたため、ユーザーの注意が必要とされる。 ほとんどのファイル名は…
