注目の高まるSquirrel.Windows

ほぼこもセキュリティニュース By Terilogy Worx

Squirrel.Windowsはご存じでしょうか。
Windowsデスクトップアプリを配布するために利用できる方法の一つです。
簡単に利用できるアプリケーションの配布ツールを作成できるため、人気が出てきています。

どんな感じで組み込まれて利用されているのか、例を一つ見てみましょう。

  • インストーラーを送り込む
    方法は特定されていませんが、なんらかの方法でインストーラーを送り込みます。
    いろいろな手がありますよね。

     

  • 被害者がインストーラーを実行する
    実行されるインストーラーは、Squirrel.Windowsを使って作成されたものです。

     

  • Node.jsのアプリが動作する
    NodeなのでJavaScriptなのですが、コンパイルされていてそのまま動作します。
    動作を開始すると、自身に含まれているファイルを被害者環境にコピーし、実行します。
    実行されるファイルは署名付きのアプリケーションですので、警告なしで動作します。

     

  • Nimのローダーが動作する
    署名付きアプリケーションは、その動作のためにDLLを読み込みます。
    そしてさらに、そのDLLが別のDLLを読み込みます。DLLサイドローディングです。
    この2段目のDLLが悪意を持って用意されたDLLになっています。
    この悪意のDLLはNim言語で実装されたマルウェアローダーです。

     

  • Coyoteが動作する
    Coyoteはバンキング型トロイです。
    被害者のシステム上で開いているすべてのアプリケーションを監視し、特定の銀行アプリケーションまたはWebサイトがアクセスされるのを待ちます。
    永続化にはWindowsログオンスクリプトが利用されます。

このCoyoteの感染の流れそのものは、最近よく見かける通常の多段構成の感染の動きです。
特別に感じる部分はありません。

この流れの中で、Squirrel.Windowsの部分がMSIで作られていたらどうなるでしょうか。
インストール動作が開始する前に、ユーザーアカウント制御機構が動作し、「本当にインストールしますか?」ということを意味するダイアログでいったん問いかけられます。
いわゆるUACですね。
UACダイアログが表示されてもよく考えないでクリックしてしまう、といった別の問題もあるにはありますが、これはこれで有用に思います。

ところが、Squirrel.Windowsで作成されたインストーラーは、UACのダイアログでの警告がなされません。
実行したら、そのままインストールが開始されます。
しかも、Squirrel.WindowsはGitHubで公開されていますので、ソースコードも参照できます。
悪意を持った人用の変化したものが登場してしまうような、危険な感じもします。

これまでは、マルウェアの配布には、MSIというマイクロソフトの提供するインストーラー機構が悪用されるものが多く確認されていました。
ここに新たな選択肢が投入されてしまった感じがします。

参考記事(外部リンク):Coyote: A multi-stage banking Trojan abusing the Squirrel
installer

securelist.com/coyote-multi-stage-banking-trojan/111846/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。