海賊版Microsoft Officeを装ったマルウェア。もちろんダウンロード厳禁

マルウェアは海賊版ソフトウェアを装って実行させる

　韓国のセキュリティ企業AhnLabが運営するAhnLab SEcurity intelligence Center(ASEC)は、韓国のユーザーをターゲットに海賊版Microsoft Officeを装ったマルウェアが拡散されている事例を確認したとして、公式ブログに攻撃手法などを報告している。

　なお、マルウェアかどうか以前にそもそも海賊版のOfficeだと知りながらダウンロードすることは日本では違法行為で、場合によっては刑事罰に処される。つまりそれ以前に手出し無用である。

　ファイル共有サービスやTorrent経由で拡散されているこのマルウェアは、ダウンロードURLとマルウェアをアップロードするプラットフォームを取得するプロセスが追加されており、さらに不正なリンクやファイルをダウンロードするための手順が組み込まれていることを特徴とする。

　このマルウェアは、初回実行時に2つのTelegramのURLと1つのMastodonのURLにアクセスし、アクセス先でGoogle DriveまたはGitHubのページに誘導させ、さらに不正なファイルをダウンロードさせる。

マルウェアの攻撃フロー

TelegramやMastodonを悪用して不正なファイルをダウンロードさせる

攻撃者のTelegramやMastodonのプロフィールページ

　Google DriveやGitHubからダウンロードしたデータは、Base64で暗号化された文字列で、さまざまなマルウェアのインストールを実行するPowerShellコマンドとなっている。

　このPowerShellコマンドは、Windows Defenderやウイルス対策ソフトウェアによる検出を回避するために、「C:ProgramDataKB5026372.exe」に配置して実行したり、不正なファイルを7zipプログラムで解凍したりしてマルウェアをインストールする。

Base64で暗号化されたPowerShellコマンド

7zとPowerShellを使用したマルウェアのインストール

　このマルウェアには「software_reporter_tool.exe」と呼ばれるプログラムも搭載しており、マルウェアのダウンロードと永続的な動作を担当する。同プログラムは、Windowsのタスクスケジューラに登録され、システムの再起動後も動作し続ける。登録されたPowerShellコマンドはさらに追加のマルウェアをインストールする。

タスクスケジューラに登録されたPowerShellコマンド

　攻撃者は、標的のPCにAhnLabのアンチウイルスソフトウェア「V3」がインストールされているかに応じてインストールするマルウェアを選んでいるといい、リモートアクセスツールの「Orcus RAT」や仮想通貨マイニングツールの「XMRig」、外部ソースから追加のペイロードをダウンロードして実行する「PureCrypter」など6種類のマルウェアから選択して標的のPCにダウンロードさせるという。

攻撃に使用されたOrcus RAT

　AhnLabは、ファイル共有サイトからダウンロードしたファイルを実行する際には注意が必要であり、ユーティリティプログラムやゲームなどの製品は公式サイトからダウンロードするよう呼びかけている。しかし繰り返しとはなるが、海賊版だと知った上でダウンロードすることは違法だ。