bomb_log

セキュリティに関するbom

トップ > 2018/04/19 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/04/19 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

はじめまして、bomです。
bom (@bomccss) | Twitter
twitterで不審メールの情報などセキュリティに関することをつぶやいています。

 

後日確認しやすいよう、調査した不審メールの内容をblogに記載していこうと思います。

 

■概要
楽天市場を騙った不審メールで本文中のリンクをクリックすると、裏で不正送金マルウェアのursnifが実行される。

 

■日時
2018/4/19 15:00頃~18:30頃

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
楽天市場 <order@rakuten.co.jp>

■本文
この度は楽天市場内のショップ「(※お店の名前複数種類あり※)」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English)

ご注文内容
注文番号 (000000)-20180416-(00000000)
注文日時 2018-04-18 (hh:mm:ss)

お問い合わせ先
(※お店の名前複数種類あり※)
(以下省略)

 

■本文中のリンク先
hxxp://bj.cagador[.]com/
hxxp://gm.graphicskeeper[.]com/
hxxp://gp.verybecareful[.]com/
hxxp://ng.tributetothestage[.]com/
hxxp://sc.joeaoakes[.]com/
hxxp://tv.graphicskeeper[.]com/
hxxp://us.cagador[.]com/
全て176.223.165.111に解決されます。
VirusTotalの検索結果を確認すると、計72個のFQDNが一つのIPに紐付いているようです。
https://www.virustotal.com/#/ip-address/176.223.165.111

 

■リンククリック時にダウンロードされるファイル
リンク先に移動すると、301 Moved Permanently となり、自動的に遷移し
直下に格納されている「もっと詳しくの情報はこちら.pdf.js」へアクセスすることとなり、ファイルがダウンロードされます。

もっと詳しくの情報はこちら.pdf.js
https://www.virustotal.com/#/file/c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6/detection
https://www.hybrid-analysis.com/sample/c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6/5ad836a37ca3e167fd1f0754
js形式のダウンローダです。

※zipファイルがダウンロードされる場合もあるようです。
ダウンロードする環境によるものかと思われます。
Linux環境でアクセスすると拒否されファイルがダウンロードされません。

ダウンローダのアクセス先
ダウンローダを実行すると、以下を取得します。
hxxp://tk.opengraphicdesign[.]com/1010.bin
こちらもダウンローダと同じく176.223.165.111に解決されます。

 

■ダウンロードされるマルウェア本体
1010.bin
https://www.virustotal.com/#/file/1d72853f609faac25623dec01b1e66dbb6f281147cc0e757e387bb9df3251c49/detection
https://www.hybrid-analysis.com/sample/1d72853f609faac25623dec01b1e66dbb6f281147cc0e757e387bb9df3251c49/5ad8397f7ca3e17001631fd4
不正送金マルウェアのursnifと思われます。


マルウェアのコピー先
C:\Users\(ユーザ名)\AppData\Local\Temp\Osf96.exe
C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\asfe32gt.exe
上記パスにダウンロードされた1010.binのコピーが格納されました。
※実行ファイル名や格納先パスは異なる、ランダムの可能性はあります。

 

レジストリ登録
起動時に自動実行される以下二つのキーが登録されました。
キー: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\TempOsf96
値: C:\Users\(ユーザ名)\AppData\Local\Temp\Osf96.exe
キー: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dot3over
値: C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\asfe32gt.exe


マルウェアの動作
マルウェアが動作し始めると、以下へ1度のみアクセスします。
hxxp://chklink[.]us/images/2.png
こちらは49.51.85.205に解決されます。
内容は不明ですが、設定ファイル等を取得しているのではないかと予想されます。

その後、C2と思われる以下と通信を行います。
hxxp://ao.shares2go.co[.]uk
こちらは89.33.64.57に解決されます。

幾度か GET /images/..~../xxx.jpeg、GET /images/..~../xxx.gif といった画像取得に見せかけた通信を行った後、POST /images/..~../xxx.bmp という形でファイルの転送(アップロード)を行います。

この時、転送されるファイルは以下のパスに作成されるxxxx.binというファイルです。
C:\Users\(ユーザ名)\AppData\Local\Temp\
このファイルは転送後、削除されますが、中にはPCの情報やキーロガーされた情報が含まれます。

 


なお、マルウェアの動作の理解には以下の資料を参考にさせていただいております。
バンキングマルウェア「URSNIF」 解析レポート - NTT Security
https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/jp_ursnif_20161226