一般的にユーザーはインストール後、デスクトップ画面に生成されたショートカットを実行し、それによりアップデートプログラムである「Asset.exe」が実行される。「Asset.exe」は同じパスに位置する「config.ini」ファイルを読み込んでアップデートサーバーに接続し、FTP プロトコルを利用してアップデートを行う。攻撃者は「config.ini」ファイルを操作して、実際のマルウェアがアップロードされている FTP サーバーをアップデートサーバーとして設定しており、これによってマルウェアが含まれた圧縮ファイルがダウンロードされ、インストールされる。
ダウンロードされた圧縮ファイル内で「StockProh.exe」が従来と同様、ランチャー機能を担っており、「Socketmanager240714.exe」はランチャーが実行される際にともに実行される Quasar RAT である。
詐欺集団は被害者の投資金を奪う手段としてプライベート取引ツールを使用してきたが、最近では被害者の PC にマルウェアをインストールする用途で使用している。そのため、過去の被害者は単純に投資金の返金を受けられなかったことに対し、今ではともにインストールされる Quasar RAT により攻撃者が PC を操作できるようになったため、個人情報の窃取を含むさらなる被害を受ける可能性がある。
金融監督院は「正式な金融会社であればメッセンジャーでプライベート取引ツールを配布することはない」としている。[1](外部サイト、韓国語にて提供) ユーザーは、公式 HP を通して既定の金融会社が提供している取引ツールをインストールする必要がある。収益を目的に違法な金融投資業者を通してプライベート取引ツールをインストールすると、投資金の損失だけでなく、マルウェアに感染してシステムに保存されているユーザーの個人情報を窃取される可能性がある。
ユーザーは、インストールされたソフトウェアの最新バージョンにパッチを適用して、脆弱性攻撃を事前に防止しなければならない。また、V3 を最新バージョンにアップデートしてマルウェア感染を事前に遮断できるように注意を払う必要がある。
ファイル検知
Trojan/Win.Injector.R657268 (2024.07.05.00)
Trojan/Win.Injector.R657891 (2024.07.11.02)
Trojan/Win.Injector.C5649697 (2024.07.14.03)
Trojan/Win.Launcher.R657892 (2024.07.11.02)
Trojan/Win.Launcher.R658117 (2024.07.14.03)
振る舞い検知
Fileless/MDP.Inject.M4878
Fileless/MDP.Inject.M4876
IOC
MD5
3F1B0FF74433EC2ACEDD93A5BFEF8E0C
3E0963FC309A94F182A33037BEF8E44B
32CB22B72A50F887805541C4AFAA34A5
2652ADCC83237B04102CA1D47908FF6C
A439E91D29611FB87BE0CCE22AA4D442
C2
43.201.97[.]239:24879
103.136.199[.]131:56001
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post 持続的に攻撃に使用されているプライベート取引ツールプログラム appeared first on ASECブログ.