Gootloaderは以前から観測されているマルチステージ型のマルウェアローダーです。
ランサムウェアを持ち込む道具として使用されることがありますし、インフォスティーラー型マルウェアの読み込みに使われることもあります。
2025年の3月頃に活動が増えたことが確認されていて、その後は静かになっているように見えていたのですが、また活発化してきています。
現在のGootloaderは、以前とは別の新たな特徴を備えてきています。
新たな手口のいくつかを見てみましょう。
- ファイル名ごまかし機能
脅威アクターの展開する脅威活動では、しばしば被害者候補にファイルを入手させようとします。
防御側もいつまでもいいようにやられているわけにはいきません。
被害者候補の中には、入手させられようとしているファイルの名称をコピーし、それが無害なものと考えられるかを判定サイトで診断しようとする人も一定数想定されます。
このマルウェアは、ここに対応してきました。
被害者候補がダウンロード対象のリンクのファイル名をコピーすると、そのコピーバッファには難読化された奇妙な文字列が取り込まれます。
しかし、画面上には普通に見えるPDFのファイル名が表示されているのです。
これは通常あまり使われないフォントをJavaScriptのコードの中に直接埋め込み、それを使うことで実現していることが解析で明らかになりました。
ここに対策しても、もうその被害者候補は被害者となることはないように思えますが、これは被害者候補向けの機能というより、解析しようとする研究者への対策なのでしょうか。
いずれにしろ、表示されるファイル名をごまかしに使用する手口が追加されています。 - ZIPファイル内容こまかし機能
もう一つ別のごまかし機能も実装されていることがわかりました。
ZIPファイルに関連する機能です。
攻撃活動のなかでZIPファイルが使われます。
みなさんはZIPファイルが手元にあるとき、その内容をどのように確認しますか?
7-zipなどのツールで好きな場所に展開する、という方もいるでしょうし、explorerでそのまま展開せずに内容を確認する、という方もいるでしょう。
これらの方法は、通常は好きな方法で実施すればよいと思います。
しかし、これがそうでもないぞ、ということになってきています。
今回の脅威アクターの展開しているZIPファイルには細工がしてあります。
そのZIPファイルを7-zipなどのツールで開くと、内部に含まれているファイルがローカルに保存される際に拡張子が「.txt」となるのです。
Windowsのデフォルトのexplorerを使う場合は7-zipなどのツールで展開した場合と異なり、内部に含まれているファイルがもとの名称のまま展開されます。
元のファイル名は、JavaScriptです。
拡張子がJavaScriptのファイルは実行可能です。
これがマルウェアのペイロードとなり、手元環境で悪事を開始します。
このような動きとなるのは7-zipだけではなく、VirusTotalやPythonのZIPユーティリティも同じ動きとなってしまいます。
この細工により、ZIPファイルをそのまま自動解析機構で解析しようとした際に無害な拡張子とすることで、解析されることを回避することが狙われています。
人間の解析者が解析する場合はこういった対策がどのくらい有効かは定かではありませんが、自動解析を想定する場合は時間稼ぎになるということなのかもしれません。
脅威アクターは次々と新たな方法で忍び寄ってきます。
こういった新しい手口に私たち個人個人がどのように対応していけるかはわかりませんが、知ることから始めることが必要なのは明らかでしょう。
新しい情報を常に入手するようにし、そういった新しい脅威にも対応していけるようにしていきたいですね。
Gootloader Returns: What Goodies Did They Bring?
https://www.huntress.com/blog/gootloader-threat-detection-woff2-obfuscation
| この記事をシェア |
|
|---|
