1. 概要
AhnLab SEcurity intelligence Center(ASEC)は、過去のブログで AsyncRAT が様々な拡張子(.chm、.wsf、.lnk)によって配布された事例を紹介したことがある。[1] [2]
上記のブログにおいて、攻撃者はマルウェアを隠蔽するために「アンケート」の内容を含む正常なドキュメントファイルをデコイファイルとして活用したことが確認できるが、最近は電子書籍に偽装してマルウェアが配布される事例が確認された。
2. スクリプトに基づいて実行されるマルウェア
電子書籍に偽装した圧縮ファイルの内部には、圧縮ファイルのアイコンに偽装した不正な LNK ファイルと不正な PowerShell スクリプトを含むテキストファイル、動画の拡張子に偽装した追加圧縮ファイル、正常な電子書籍ファイルが存在する。LNK ファイルには不正なコマンドが含まれており、PowerShell スクリプトが含まれている RM.TXT ファイルを読み込んで実行する。
RM.TXT ファイルは不正な PowerShell スクリプトを隠蔽するために、ほとんどが無意味な文字列で構成されている。実質的なスクリプトはダウンローダーマルウェアを含むフォルダーを隠し属性に変更し、難読化されたスクリプトを実行する。
難読化されたスクリプトはシステム内に存在するセキュリティ製品を検索し、結果に応じて動画の拡張子に偽装した圧縮ファイル内部のマルウェアを実行する。
2.1. Method1
Method1 関数は 4.mkv を解凍したあと、「NTUSER.BAT{428f9636-1254-e23e3-ada2-03427pie23}.TM.VBS」スクリプトファイルを実行する XML ファイルを「BitTorrent Certificate」という名前でタスクスケジューラーに登録する。
実行された VBS ファイルはシステム情報を「WindowsLogFile.txt」に記録し、バッチファイル(NTUSER.BAT{428f9636-1254-ee23-ada2-080027dede23}.TM.bat)で PowerShell スクリプトを実行する。
実行された PowerShell スクリプト(NTUSER.DAT{428f1209-1254-11ef-ada2-080027dede23}.TxR.1.ps1)は、難読化された PE ファイルである blf ファイル(NTUSER.DAT{428f1209-1254-13ef-ada4-080027dede23}.TxR.blf、NTUSER.DAT{4280000a-1254-11ef-ada2-080007dede23}.TM.blf)をロードして AsyncRAT を実行する。
2.2. Method2
Method2 関数は 5.mkv を解凍したあと、圧縮ファイル内部に存在する VBS スクリプトを実行するタスクスケジュールを「BitTorrent」として登録する。VBS スクリプトはバッチファイルを通じて AutoHotKey スクリプトを実行し、最終的に AsyncRAT を以下の URL からダウンロードして実行する。
2.3. Method3
Method3 関数は 8.mkv を解凍したあと、圧縮ファイル内部に存在する PowerShell スクリプトを実行するタスクスケジュールを「USER ID Converter」として登録する。PowerShell スクリプトは RM.TXT ファイルと同じ方式で難読化されており、最終的に同じパス上に存在する AsyncRAT を直接実行する。
3. AsyncRAT
最終的に実行されるマルウェアは AsyncRAT であり、AntiVM、AntiAV、持続性維持などの機能を持ち、ユーザーの情報流出を遂行する。また、攻撃者からコマンドを受け取って様々な不正な振る舞いを実行することができる。
AsyncRAT マルウェアは以前から様々な拡張子と方式により配布され続けており、正常な電子書籍に偽装して配布されるこのタイプの場合、フィッシングメールだけでなくデータ共有サイトを通じても共有されるおそれがあるタイプであるため、ユーザーは特に注意する必要がある。
[ファイル検知]
– Trojan/Script.Agent.SC200228 (2024.06.25.00)
– Trojan/BAT.Agent.SC200230 (2024.06.25.00)
– Trojan/VBS.Agent.SC200225 (2024.06.25.00)
– Trojan/BAT.Agent.SC200226 (2024.06.25.00)
– Malware/Win.Generic.C5643757 (2024.06.23.03)
[IoC]
MD5
– dea45ddf6c0ae0f9f3fde1bfd53bc34f (VideoVLC_subtitles.exe)
– b8d16e9a76e9f77975a14bf4e03ac1ff (RM.TXT)
– 50005f22608e93dff1d9ed18f6be95d3 (Business Secrets from the Bible – Rabbi Daniel Lapin.LNK)
– 1ada2c6796a3486b79c5eb47fce9b19c (worldofprocure.rar)
– 21714b248ab9ca42097a7834251a7452 (NTUSER.vbs{428f9636-1254-e23e3-ada2-03427pie22}.TM.vbs)
C&C サーバー
– stevenhead.ddns[.]net
ダウンロードアドレス
– hxxps://worldofprocure[.]com/worldofprocure.rar
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post 電子書籍に偽装して配布される AsyncRAT appeared first on ASECブログ.