VCURMSは、インフォスティーラー型マルウェアです。
これを展開する攻撃キャンペーンが確認されています。
どういったものなのでしょうか。
- 初期感染
始まりはフィッシングメールです。
スタッフ部門の人をターゲットにしたもので、メールの中には支払い情報を確認させようとする内容になっています。 - 添付ファイル?
メールには添付ファイルとしてPDF文書があるように作られています。
しかし、それをクリックすると、AWS上に置かれたJARファイルのダウンロードが行われるようになっています。
JARはJavaのアーカイブファイルです。 - JARの中身
JARのなかのJavaのコードは難読化されています。
これらの仕組みは、次の段階を取得します。
次の段階は2つのJARになっていて、リモートから取得されます。
JARの内容は拡張子がjpgなどとなっているもので構成されていますが、それらの拡張子は見た目を画像ファイルを装うためのもので、内容は画像ファイルではありません。
中身はマルウェアの詰め合わせとなっています。 - 中身の1つ:VCURMS
これはインフォスティーラー型マルウェアです。
DiscordやSteamのアプリからアカウント情報を盗み、ChromeやFirefoxなどの各種ブラウザからcookieや自動入力データなどを盗み、ネットワーク情報やプロセス情報などのシステムの状態を取得します。
取得した情報は特定のPATHにまとめられ、脅威アクターのメールアドレスに送信します。
VCURMSは収集した情報の持ち出しにメールを使用しますが、コマンドの伝達にもメールを使用します。
特定の件名のメールがあるかを定期的にチェックし、見つけると本文からコマンドを取り出して実行します。
今回のキャンペーンでは、メールサービスにProtonが利用されました。 - 中身の1つ:STRRAT
これは名前が示すように、RAT、リモートアクセストロイです。
Javaで実装されていて、キーロガーとして機能したり、ブラウザやアプリケーションから資格情報を抽出したりするなど、幅広い機能を備えています。
このマルウェアも難読化が行われています。
AllatoriやBranchlockなどの難読化ツールを利用していて、構成情報も暗号化されていたりします。
これらのほかにも、キーロガーなどの他のマルウェアも含まれていて展開されます。
被害にあった人からしてみると、「ちょっと業務上必要に見えるPDFを開いただけなのに。」という感じですが、その結果として、複数のマルウェアに感染してしまうこととなりました。
フィッシングメールにしても、その他の脅威についても、見た目で分かりやすいような怪しさはどんどん減ってきています。
AIの功と罪、なのかもしれません。
注意していきましょう。
参考記事(外部リンク):VCURMS: A Simple and Functional Weapon
www.fortinet.com/blog/threat-research/vcurms-a-simple-and-functional-weapon
| この記事をシェア |
|
|---|
