bomb_log

セキュリティに関するbom

トップ > 2018/04/20 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/04/20 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

二日連続ですが、不正送金マルウェアursnifの感染を狙った楽天市場を騙るメールのばらまきがありました。

 

■概要
楽天市場を騙った不審メールのばらまきが発生した。
メール本文中のリンクをクリックすると、裏で不正送金マルウェアのursnifに感染する。
なお、今回は.js形式のファイルを2度経由してから感染させることが前日との違い。

 

■日時
2018/4/20(金) 15:00頃~22:30頃

※以下、件名、送信者、本文は前日4/19のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
楽天市場 <order@rakuten.co.jp>

■本文
この度は楽天市場内のショップ「(※お店の名前複数種類あり※)」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English)

ご注文内容
注文番号 (000000)-20180416-(00000000)
注文日時 2018-04-18 (hh:mm:ss)

お問い合わせ先
(※お店の名前複数種類あり※)
(以下省略)

 

■本文中のリンク先
hxxp://ai.thetallmanbuildingcompanyinc[.]com/
hxxp://as.thetallmanbuildingcompanyinc[.]com/
hxxp://at.thetallmanbuildingcompany[.]com/
hxxp://cd.thetallmanbuildingcompany[.]com/
hxxp://cl.thetallmanbuilders[.]com/
hxxp://co.tallmanbuildingcompanyinc[.]com/
hxxp://cr.tallmanbuildingcompany[.]com/
hxxp://cu.thetallmanbuilders[.]com/
hxxp://cz.tallmanbuildingcompany[.]com/
hxxp://dk.thetallmanbuilders[.]com/
hxxp://gi.tallmanbuildingcompanyinc[.]com/
hxxp://gw.thetallmanbuildingcompany[.]com/
hxxp://lb.thetallmanbuildingcompany[.]com/
hxxp://mf.thetallmanbuildingcompany[.]com/
hxxp://mo.tallmanbuildingcompany[.]com/
hxxp://mu.tallmanbuilders[.]com/
hxxp://pf.thetallmanbuildingcompanyinc[.]com/
hxxp://ph.tallmanbuildingcompany[.]com/
hxxp://sc.tallmanbuildingcompany[.]com/
hxxp://sy.tallmanbuildingcompany[.]com/
hxxp://uz.thetallmanbuildingcompanyinc[.]com/
hxxp://vi.tallmanbuildingcompany[.]com/
hxxp://zm.tallmanbuildingcompany[.]com/

全て66.70.246.3に解決されます。
VirusTotalの検索結果を確認すると、計88個のFQDNが一つのIPに紐付いているようです。
https://www.virustotal.com/#/ip-address/66.70.246.3


■リンククリック時にダウンロードされるファイル
ブラウザをchromeにしてリンクをクリックすると「もっと詳しくの情報はこちら.pdf..js」ファイルがダウンロードされます。
前日のばらまきと同一のハッシュのファイルですが、ファイル名が「もっと詳しくの情報はこちら.pdf[.].js」と[.]が1つ増えています。
f:id:bomccss:20180421191820p:plain

IEでアクセスすると、「もっと詳しくの情報はこちら.zip」がダウンロードされ、中に「qlqfzrwvjxvjx.PDF.js」が入っていました。

f:id:bomccss:20180421191752p:plain
「もっと詳しくの情報はこちら.pdf..js」
js形式のダウンローダです。(前日と同一のものです)
https://www.virustotal.com/#/file/c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6/detection
https://www.hybrid-analysis.com/sample/c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6/5ad836a37ca3e167fd1f0754


ダウンローダのアクセス先
ダウンローダを実行すると、前日と同様、以下を取得しに行きます。
hxxp://tk.opengraphicdesign[.]com/1010.bin
こちらは前日と同じく176.223.165.111に解決されます。
アクセスするとリダイレクトされ、「もっと詳しくの情報はこちら.pdf.js」がダウンロードされます。
https://www.hybrid-analysis.com/sample/c182dc688a6b836d3fdfa4d590d443351efba1f265519924e959d63da0a6ca7c/5ad99eea7ca3e1208102c963
chromeを使っていれば自動でダウンロードされますが、IEを使っているとファイルの拡張子は.exeで実態は.zipファイルがダウンロードされます。
感染するにはそのファイルを正しく.zipに修正した上で展開し、中身の.jsファイルを実行する必要があります。
攻撃者はIEの環境でのテストを行っていないようにも思えます。

なぜこのような2段階でのダウンローダを使う動きをするようにしたのか、意図は読めません。
前日のメール配信を活用するにしても、ダウンローダを2段階にすることで、アンチウイルスソフトに検出される可能性が増しているだけのように思えます。


■ダウンロードされるマルウェア本体
hxxp://sx.nfnycc[.]com/01020.bin
https://www.hybrid-analysis.com/sample/1d78d54fabb98eefe957f97d16e33239fdc65f3db14a4c545bc10219db56bb89/5ad98b507ca3e15722493b38
不正送金マルウェアのursnifと思われます。


マルウェアの初期挙動
マルウェアを動作させると、自身のコピーを以下に行います。
C:\Users\(ユーザ名)\AppData\Local\Temp\Ds12.exe
C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\asfe32gt.exe
実際に動作しているものは下のパスのものになります。これは前日のものと同様です。

f:id:bomccss:20180421191950p:plain

f:id:bomccss:20180421192323p:plain


また、自動起動用に以下のレジストリの書き込みを行います。
キー: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dot3over
値: C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\asfe32gt.exe


マルウェアの挙動
マルウェアが動作し始めると、こちらも前日同様ですが、以下へ1度のみアクセスします。
hxxp://chklink[.]us/images/2.png
こちらは49.51.136.34に解決されます。前日とドメインは同一ですが、IPは変更されています。

その後、C2と思われる以下と通信を行います。
hxxp://ao.shares2go.co[.]uk
こちらは前日同様で89.33.64.57に解決されます。

f:id:bomccss:20180421192146p:plain


マルウェアの駆除
マルウェアが動いている間はマルウェアを削除することが出来ません。
マルウェアを削除するには、自動起動用のレジストリを削除後、PCを再起動しマルウェア本体を削除する必要があります。


■インジケータ
通信先
hxxp://ai.thetallmanbuildingcompanyinc[.]com/
hxxp://as.thetallmanbuildingcompanyinc[.]com/
hxxp://at.thetallmanbuildingcompany[.]com/
hxxp://cd.thetallmanbuildingcompany[.]com/
hxxp://cl.thetallmanbuilders[.]com/
hxxp://co.tallmanbuildingcompanyinc[.]com/
hxxp://cr.tallmanbuildingcompany[.]com/
hxxp://cu.thetallmanbuilders[.]com/
hxxp://cz.tallmanbuildingcompany[.]com/
hxxp://dk.thetallmanbuilders[.]com/
hxxp://gi.tallmanbuildingcompanyinc[.]com/
hxxp://gw.thetallmanbuildingcompany[.]com/
hxxp://lb.thetallmanbuildingcompany[.]com/
hxxp://mf.thetallmanbuildingcompany[.]com/
hxxp://mo.tallmanbuildingcompany[.]com/
hxxp://mu.tallmanbuilders[.]com/
hxxp://pf.thetallmanbuildingcompanyinc[.]com/
hxxp://ph.tallmanbuildingcompany[.]com/
hxxp://sc.tallmanbuildingcompany[.]com/
hxxp://sy.tallmanbuildingcompany[.]com/
hxxp://uz.thetallmanbuildingcompanyinc[.]com/
hxxp://vi.tallmanbuildingcompany[.]com/
hxxp://zm.tallmanbuildingcompany[.]com/
hxxp://tk.opengraphicdesign[.]com/1010.bin
hxxp://sx.nfnycc[.]com/01020.bin

ハッシュ
c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6
c182dc688a6b836d3fdfa4d590d443351efba1f265519924e959d63da0a6ca7c
1d78d54fabb98eefe957f97d16e33239fdc65f3db14a4c545bc10219db56bb89