メールを通じて拡散する XLL マルウェア Posted on 2022年 May 27日 これまでに、マルウェアは様々な形態と手法で変化しながら製作され、また拡散している。AhnLab 分析チームでは、そのような変化を積極的にモニタリングしながら解析を行い、当社製品に検知を反映するようにしている。今回は、去年から拡散の状況が確認されていた XLL 形式のマルウェアについて紹介する。 .xll の拡張子で動作可能な XLL ファイルは Microsoft Excel(エクセル)のアドインファイルであり、MS Excel を通じてファイルを実行することができる。特異な点は、実行は…
税金計算書を装って配布される Remcos RAT マルウェア Posted on 2022年 March 7日 ASEC 分析チームは、税金計算書を装った Remcos RAT マルウェアが配布されている状況を確認した。フィッシングメールの内容とタイプは過去に当ブログを通じて何度も共有してきた形式と大きく変わらない。メール本文には、ぎこちない文法で書かれた短いメッセージが含まれている。ただし関連する業務に従事している場合、メールの内容はあまり意に介さずに何気なく添付ファイルを開いてしまう可能性があるため、注意が必要である。 添付ファイル「Tax.gz」を解凍すると、「Tax.com」という実行ファイルが存在しており、デバッグによってファイル内部を確認したところ、以下のようなコードを確認できた。実行環境が64ビットである場合「hxxp://zhost.polycomusa[.]com/Chrimaz.exe」から当該環境に適合する不正なファイル(1df2bf9313decafd0249d6a4556010bc)をダウンロードして実行し、そうでない場合は「3xp1r3Exp.ps1」という PowerShell ファイルをダウンロードしてさらなる不正な振る舞いを実行する。 この PowerShell スクリプトは以下の図4)に示す通り UAC…
履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 Posted on 2022年 February 24日 ASEC 分析チームは最近、履歴書や著作権に関する内容を騙るメールによってランサムウェアが配布されていることを確認した。このような内容の不正なメールは、過去から絶えず拡散され続けている。従来の Makop ランサムウェアを配布していたのとは異なり、最近では LockBit ランサムウェアを配布している。 著作権侵害に関する内容で拡散している Makop ランサムウェア 履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中…
様々なグループウェアを詐称して拡散するフィッシングスクリプトファイル Posted on 2022年 February 7日 昨年5月、ASEC 分析チームでは TI 分析レポートと ASEC ブログを通じて「韓国国内のメールサービスのユーザーをターゲットにしたフィッシングサイト」について紹介した。当時は、NAVER ワークス(NAVER WORKS)/メールプラグ(MAILPLUG)/ハイワークス(hiworks)/千里眼/Daum のユーザーを対象に、ユーザー情報を流出させた内容について紹介した。 企業用グループウェアのログインページを装ってユーザーのアカウント情報を流出させるためのファイルは、かなり頻繁に拡散してきたフィッシングタイプのうちの一つであり、メールタイトル、内容/添付ファイル名/スクリプトコード等において微小な変形を使用している。 韓国国内のユーザーが多く利用するこれらのグループウェアを詐称している点は同じだが、今回は攻撃者がより簡単な方式を利用して、同じスクリプトファイルを受信者に合わせて様々なファイル名に変えて配布している状況が確認された。また、類似したスクリプトコードのフォーマットを使用し、NAVER ワークス(NAVER…
韓国国内の有名ポータルサイトに偽装した情報流出マルウェア Posted on 2022年 January 12日 ASEC 分析チームは、韓国国内ポータルサイトに関するファイルに偽装した情報流出型マルウェアを確認した。最近フィッシングメールで使用された不正な URL から NAVER.zip ファイルが確認されており、圧縮ファイル内部には「네이버지키미.exe」(翻訳:NAVER ジキミ.exe)というファイル名の実行ファイルが含まれている。 不正な URL が確認されたフィッシングメールは以下のようにカカオアカウントに関連した内容を含んでおり、ユーザーが<보호 해제하기>(翻訳:保護を解除する)ボタンをクリックすると hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[メールアドレス]…
