分析

見積や購入内容のメールに偽装して拡散するFormbookマルウェア

Formbook マルウェアは、2017年に初めて報告されて以降、現在まで拡散し続けている情報奪取型マルウェアである。最近では主に見積や購入関連のメールに偽装して拡散している。メールには圧縮された添付ファイルが含まれており、圧縮ファイル内部にはマルウェアの実行ファイルが存在する。単純な方法で拡散しているが、拡散量はマルウェアサンプル全体の中でも大きな割合を占めているため、注意が必要である。 AhnLab ASEC 分析チームでは、Formbook マルウェアの拡散に使用されている代表的な不正メールと、添付されたマルウェアに対する解析情報を紹介する。 不正なメールは、主に見積、購入、注文、発注、船積等のキーワードで出回っており、ユーザーがメールを開いて添付ファイルを実行するとマルウェアに感染する。圧縮ファイル内部のマルウェアは Delphi のアウトラインによってパッキングされており、パッカーは自分自身に対して再帰の実行をしたあと、内部にエンコードされた Formbook バイナリをインジェクションして実行する役割を行う。 Delphi…