マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア Posted on 2022年 March 23日 ASEC 分析チームは最近、ClipBanker マルウェアがマルウェアの製作ツールに偽装して拡散していることを確認した。ClipBanker マルウェアは感染システムのクリップボードをモニタリングし、コインウォレットアドレスの文字列がコピーされると攻撃者が指定したウォレットアドレスに変更させる機能を持つマルウェアである。 このようなタイプのマルウェアは過去から配布され続けている。 ClipBanker マルウェアが配布されているのは、以下のように「Russia black hat」というサイトであり、マルウェアの製作ツールを含む様々なハッキング関連プログラムがアップロードされているところである。 すなわち、この攻撃者は他の攻撃者をターゲットにマルウェア製作ツールだけではなく、別のマルウェアを同時に配布しているのである。これによって、これらのツールをインストールした攻撃者はシステムに ClipBanker マルウェアがインストールされる可能性がある。…
税金計算書を装って配布される Remcos RAT マルウェア Posted on 2022年 March 7日 ASEC 分析チームは、税金計算書を装った Remcos RAT マルウェアが配布されている状況を確認した。フィッシングメールの内容とタイプは過去に当ブログを通じて何度も共有してきた形式と大きく変わらない。メール本文には、ぎこちない文法で書かれた短いメッセージが含まれている。ただし関連する業務に従事している場合、メールの内容はあまり意に介さずに何気なく添付ファイルを開いてしまう可能性があるため、注意が必要である。 添付ファイル「Tax.gz」を解凍すると、「Tax.com」という実行ファイルが存在しており、デバッグによってファイル内部を確認したところ、以下のようなコードを確認できた。実行環境が64ビットである場合「hxxp://zhost.polycomusa[.]com/Chrimaz.exe」から当該環境に適合する不正なファイル(1df2bf9313decafd0249d6a4556010bc)をダウンロードして実行し、そうでない場合は「3xp1r3Exp.ps1」という PowerShell ファイルをダウンロードしてさらなる不正な振る舞いを実行する。 この PowerShell スクリプトは以下の図4)に示す通り UAC…
Microsoft を騙るフィッシング攻撃の増加 Posted on 2022年 February 23日 最近、ASEC 分析チームは Microsoft のログインページに偽装したフィッシングメールが流入している状況を捕捉した。 収集されたフィッシングメールのサンプルは、以下の図のように Microsoft のボイスメッセージに偽装し、playback ファイルを閲覧するように添付ファイルのクリックを誘導する内容で構成されている。この添付ファイルをクリックすると Microsoft ログインページに偽装したフィッシングページに移動する。 もう一つのサンプルは、スキャナによって転送されたファイルに偽装し、添付ファイルのクリックを誘導する内容で構成されている。この添付ファイルをクリックすると、同様に Microsoft…
様々なグループウェアを詐称して拡散するフィッシングスクリプトファイル Posted on 2022年 February 7日 昨年5月、ASEC 分析チームでは TI 分析レポートと ASEC ブログを通じて「韓国国内のメールサービスのユーザーをターゲットにしたフィッシングサイト」について紹介した。当時は、NAVER ワークス(NAVER WORKS)/メールプラグ(MAILPLUG)/ハイワークス(hiworks)/千里眼/Daum のユーザーを対象に、ユーザー情報を流出させた内容について紹介した。 企業用グループウェアのログインページを装ってユーザーのアカウント情報を流出させるためのファイルは、かなり頻繁に拡散してきたフィッシングタイプのうちの一つであり、メールタイトル、内容/添付ファイル名/スクリプトコード等において微小な変形を使用している。 韓国国内のユーザーが多く利用するこれらのグループウェアを詐称している点は同じだが、今回は攻撃者がより簡単な方式を利用して、同じスクリプトファイルを受信者に合わせて様々なファイル名に変えて配布している状況が確認された。また、類似したスクリプトコードのフォーマットを使用し、NAVER ワークス(NAVER…
「Merry Christmas!」Excel ファイルと共に配布される Dridex マルウェア Posted on 2021年 December 29日 ASEC 分析チームは、クリスマスシーズンを利用して Dridex マルウェアのダウンローダーとして動作する Excel ファイルが拡散している状況を確認した。Dridex マルウェアが Excel ファイルのマクロを利用して配布されているといった内容は ASEC ブログを通じて何度も紹介したことがある。(本文下部リンク参照) Dridex…