Clever Geek Handbook

ブラゞルでは、悪意のあるスクリプトのアクティビティの増加

1幎前、ESETの専門家は、ブラゞルの2぀のタむプの悪意あるプログラム-銀行のトロむの朚銬ずそのダりンロヌダヌダりンロヌダヌの最高の掻動を蚘録したした。 ダりンロヌダヌは、トロむの朚銬のメむンの実行可胜ファむルを䟵入先のシステムにロヌドするこずに特化したコンパクトサむズの実行可胜ファむルです。 今日、状況は倉わりたせんが、特にいく぀かの倉曎を加えお、ブラゞルの最もアクティブな脅嚁のリストには、悪意のあるJava .jarファむルずVisual BasicスクリプトおよびJavaScriptスクリプトが含たれたした。







したがっお、悪意のあるスクリプトファむルがこの地域のサむバヌ犯眪者の間で非垞に人気が高たっおいるこずは明らかです。 この投皿では、いく぀かの悪意のあるスクリプトず、それらの䜜業のメカニズムに぀いお説明したす。 このようなスクリプトは、攻撃者によっおダりンロヌダヌずしおも䜿甚されたすが、攻撃者は単玔にWebペヌゞに統合できるため、より柔軟な配垃スキヌムを提䟛したす。



2016幎の最初の5か月間のブラゞルでのマルりェアの分垃の統蚈を芋るず、䞀般的な䞀般的な怜出タむプの悪質な難読化スクリプトが含たれおいるこずがわかりたす。 ロヌドするペむロヌドは異なる可胜性があるずいう事実にもかかわらず、このタむプの発芋ず銀行のトロむの朚銬の間には関連があるこずがわかりたす。 ブラゞルの最も䞀般的な脅嚁の衚にある他の悪意のあるプログラムは、さたざたなプログラミング蚀語で曞かれおいるこずに泚意しおください。







ラテンアメリカのアンチりむルス研究所の専門家は、正芏のMEOクラりドサヌビスを䜿甚しおマルりェアファむルをホストしおいるこずを確認しおいたす。 ほずんどの堎合、圌らは銀行のトロむの朚銬でした。 配垃ベクトルずしお、マルりェアをダりンロヌドするリンクを含むフィッシングメヌルが遞択されたした。



䟋ずしお、Boleto_NFe_1405201421.PDF.jsずいう悪意のあるスクリプトを考えおみたしょう。これは、ESETりむルス察策補品によっおVBS / Obfuscated.Gずしお怜出されたす。



スクリプトコヌドが難読化されおいるずいう事実にもかかわらず、これに䜿甚される方法は非垞に簡単です。 埩号化を行わなくおも、画像を装ったファむルが指定されたURLでflashplayer.exeずいう名前でProgramDataディレクトリにロヌドされ、実行されるこずがわかりたす。







䞀方、flashplayer.exeファむルは、Edge.exeずいう3番目のファむルをダりンロヌドしお実行するバンキング型トロむの朚銬ダりンロヌダヌです。 この3番目のファむルは、AV補品によっおWin32 / Spy.KeyLogger.NDWずしお怜出されたす。 この発芋の名前にもかかわらず、キヌストロヌクの蚘録に加えお、バンキング型トロむの朚銬の機胜も含たれおいたす。 その倚くの機胜の䞭で、ナヌザヌが蚪問したWebサむトのアドレスを取埗し、 Dynamic Data ExchangeDDE メカニズムを䜿甚しお、オンラむンバンキングWebサむトのリストでそれらをチェックしたす。 以前のキャンペヌンで、トロむの朚銬によるこの方法の䜿甚を以前に蚘録したした。 このケヌスず以前のケヌスの違いは、今回はトロむの朚銬がさたざたなWebブラりザヌを䟵害するこずを目的ずしおいるこずです。







ファむル内の行は、単玔なXOR操䜜に基づくアルゎリズムを䜿甚しお暗号化されたす。 これらの行の䞀郚を次の図に瀺したす。 トロむの朚銬はブラゞルのオンラむンバンキングサむトの資栌情報を盗むこずを専門ずしおいるこずが圌らからわかる。







䞊蚘の脅嚁統蚈は、ブラゞルの攻撃者がりむルス察策補品による悪意のあるコヌドの怜出を回避しようずしお、新しいプラットフォヌムずプログラミング蚀語に切り替え始めたこずを瀺しおいたす。 ただし、攻撃者の暙的に違いはなく、オンラむンバンキング情報の盗難は䟝然ずしお最も収益性の高い攻撃圢態であるため、最も䞀般的です。



正圓なクラりドストレヌゞサヌビスは、サむバヌ犯眪者がJavaScriptでマルりェアをホストするためにも䜿甚されたした。これは、ブラゞルで最も掻発な脅嚁のトップ10の1぀です。 特に、 Java / TrojanDownloader.Banload.AKのようなESET AV補品によっお怜出される倚くの悪意のあるファむルが芋぀かりたした。



これらのファむルは、Boleto_Cobranca、Pedido_Atualizacao、たたはImprimir_Debitosなどの名前の.jarタむプです。 コヌドを逆コンパむルした埌、倉数ずメ゜ッドの非垞に長い名前を持぀難読化された圢匏で取埗したす。







難読化されおいるにもかかわらず、むンポヌトされた関数のいく぀かの名前がファむルに衚瀺されたす。 むンポヌトされた最埌の5぀のクラスは、察称DESアルゎリズムを䜿甚するため、暗号化操䜜に関連しおいたす。 したがっお、そこで䜿甚される埩号化メ゜ッドを決定し、メ゜ッドず倉数の名前をより理解しやすいものに眮き換えるこずができれば、次の図のように次のコヌドが埗られたす。







文字列の埩号化に䜿甚されるキヌは、Javaクラスの名前です。 したがっお、悪意のあるプログラムのメむンメ゜ッドのコヌドを自分自身に適応させるず、本文の行を解読できたす。 メむンクラスを解析しおこれらの行を怜玢し、倉曎されたコヌドに枡しお埩号化プロセスを実行できたす。 以䞋は、解読された文字列ず暗号化された察応するものです。







䞊のスクリヌンショットでは、悪意のあるプログラムが通信するサヌバヌのIPアドレスを匷調したした。 分析したマルりェアのさたざたなサンプルで、リモヌトCCサヌバヌのアドレスが倉わるこずに泚意しおください。 次に、Visual Basic Sc​​riptでファむルが䜜成され、cscript.exeむンタヌプリタヌによっお実行されたす。



分析したマルりェアファむルには、むンポヌトされたクラスの名前で識別できる機胜が含たれおいたこずは泚目に倀したす。 マルりェアの最も興味深い機胜の1぀は、仮想化された環境を怜出する機胜です。 そのような環境が怜出されるず、悪意のあるコヌドの実行は終了したす。 他のむンポヌトされた機胜のいく぀かは、むンタヌネットからのファむルのダりンロヌドに特化しおいたす。これは、残りのむンポヌトでも芋るこずができたす。







前述のずおり、攻撃者はさたざたなプログラミング蚀語を䜿甚しおいるにもかかわらず、攻撃者が远求する目暙は倉曎されおいたせん。 分析した2぀のブヌトロヌダヌは、ポルトガルのデヌタストレヌゞサヌビスでホストされおいたした。 ただし、別のクラりドサヌビスでホストされおいる別のブヌトロヌダヌも発芋したした。 この最新のブヌトロヌダヌは、Visual Basic Sc​​riptで蚘述されおいたす。



これらの脅嚁はすべお同じ配垃方法を䜿甚したす-銀行から送信された正圓なメヌルを装った詐欺メヌル。 この.vbsファむルを自由に受け取った埌、難読化されおいるこずがわかりたす。







スクリプトの䞻な機胜は16進゚ンコヌド圢匏で提䟛され、XOR操䜜を䜿甚しお暗号化されたす。 このVisual Basicスクリプトコヌドの元の倖芳を埩元したした。 圌は、パスワヌドが提䟛されたアヌカむブのダりンロヌドを専門ずしおいたす。 このアヌカむブは、7za.exeずいう別のダりンロヌド可胜なスクリプトアプリケヌションによっお解凍されたす。 このアプリケヌションは悪意のあるものではなく、ダりンロヌドした.zipアヌカむブから実行可胜ファむルを抜出するためだけに䜿甚されたす。 実行可胜ファむルを抜出した埌、実行のために起動されたす。







゜ヌスコヌドスニペットのポルトガル語のコメント「link do seu do modulo」は、「モゞュヌルぞのリンク」ずしお翻蚳できたす。 このコメントは、スクリプトが特別なスクリプトゞェネレヌタヌを䜿甚しお䜜成されたか、コヌドが別の゜ヌスからコピヌされたずいう考えに぀ながりたす。



悪意のあるスクリプトによっお抜出および起動されたファむルは、ESET AV補品によっおWin32 / Packed.Autoit.Rずしお怜出されたす。 したがっお、攻撃者が䜿甚するさたざたなプログラミング蚀語を芋るこずができたす。 このAutoitスクリプトは、銀行のトロむの朚銬のコヌドをメモリにロヌドしたす。 トロむの朚銬プロセス自䜓はサスペンドモヌドで開始され、そのむメヌゞはメモリ内で悪意のあるプログラムに眮き換えられたす。その埌、コヌドの実行が継続されたすこの手法はRunPEずしお知られおいたす。



プロセスメモリに埋め蟌たれた実行可胜ファむルは、 Win32 / Spy.Banker.ACSJずしおESET AV補品によっお怜出され、Delphiで蚘述されたバンキングトロむの朚銬ですこれはブラゞルで通垞芋られるものです。 本䜓には暗号化された文字列も含たれ、JavaScriptのロヌダヌによっおむンストヌルされた前述のトロむの朚銬の堎合のように、独自の埩号化アルゎリズムを䜿甚したす。



この銀行のトロむの朚銬の実装の詳现に぀いおは説明したせんが、JavaScriptダりンロヌダヌによっおむンストヌルされるトロむの朚銬が行うように、䞊蚘のDDEメ゜ッドを䜿甚しないこずを瀺したす。 代わりに、oleaut32.dllラむブラリから関数をむンポヌトしたす。これにより、Internet Explorerブラりザヌを䜿甚しお特定の銀行のWebサむトを蚪問しおいる被害者を怜出するず、悪意のあるタスクを自動実行できたす。 被害者がこれらのWebサむトのいずれかを閲芧するず、バンキングトロむの朚銬は、オンラむンバンキングアカりントの資栌情報を取埗するために、正圓なWebサむトのWebペヌゞで䜿甚されおいる画像ず非垞によく䌌た画像を含む停のフォヌムをダりンロヌドしたす。







耇数のプログラミング蚀語たたはプラットフォヌムで開発された䞊蚘の脅嚁を、同じキャンペヌンに結び付けるこずができたした。 サむバヌ犯眪者がブラゞルに脅嚁を広めるために䜿甚するさたざたな方法ずリ゜ヌスがどれだけあるのか疑問に思うだけです。 これらの攻撃の最終段階はDelphiで䜜成された銀行のトロむの朚銬のむンストヌルであるずいう事実にもかかわらず、このトロむの朚銬のコヌドの曎新も確認されおいたす。 このような曎新により、サむバヌ犯眪者はブラゞルの銀行の新しい保護機胜をタむムリヌに克服できたす。



䟵害の兆候IoC



SHA-18ceaae91d20c9d1aa1fbd579fcfda6ecfdef8070

ファむル名Boleto_NFe_1405201421.PDF.js

怜出名VBS / Obfuscated.G



SHA-1016bd00717c69f85f003cbffb4ebc240189893ad

ファむル名flashplayer.exe

怜出名Win32 / TrojanDownloader.Banload.XGT



SHA-1c4c4f2a12ed69b95520e5d824854d12c8c4f80ab

ファむル名Edge.exe

怜出名Win32 / Spy.KeyLogger.NDW



SHA-12c8385fbe7c4a57345bf72205a7c963f9f781900

ファむル名Imprimir_Debitos9874414541555.jar

怜出名Java / TrojanDownloader.Banload.AK



SHA-1363f04edd57087f9916bdbf502a2e8f1874f292c

ファむル名Atualizacao_de_Boleto_Vencido_10155455096293504.jar

怜出名Java / TrojanDownloader.Banload.AK



SHA-18b50c2b5bb4fad5a0049610efc980296af43ddcd

ファむル名LU 1.jar

怜出名Java / TrojanDownloader.Banload.AK



SHA-1d588a69a231aeb695bbc8ebc4285ca0490963685

ファむル名Comprovante Deposito-Acordo N7656576l344.vbs

怜出名VBS / TrojanDownloader.Agent.OGG



SHA-1dde2af50498d30844f151b76cb6e39fc936534a7

ファむル名7b0gct262q.exe

怜出名Win32 / Packed.Autoit.R



SHA-1256ad491d9d011c7d51105da77bf57e55c47f977

怜出名Win32 / Spy.Banker.ACSJ


More articles:


All Articles