正規VPNインストーラにバックドアをバンドルし拡散する攻撃手口-セキュリティブログ

サイバー犯罪者はその時々に注目のトピックを使い、利用者を騙します。コロナ禍において必要性が高まっている技術の1つに、仮想プライベートネットワーク(VPN)があります。VPNを用いて通信内容を暗号化することで、ユーザのコンピュータとインターネット間での通信の安全性を確保し、諜報活動の試みからデータを保護することができます。
VPNは有用な機能ですが、特にこのコロナ禍の状況で多くの企業が安全性の高い自社のネットワークから離れてテレワークを続けていることにより、これまで以上に活用されていると推測されます。

この度、トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しています。サイバー犯罪者はこのようなVPNへの注目を利用して攻撃を仕掛けてきたものと言えます。

では、どんな内容だったのか、トレンドマイクロセキュリティブログからご紹介します。

今回の攻撃手口ですが、バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。
特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。

 

正規インストーラにバンドルされた不正ファイルを解析

今回の攻撃で確認された特定のバックドア型マルウェア(「Backdoor.MSIL.BLADABINDI.THA」として検出」)および関連不正ファイル(「Trojan.MSIL.BLADABINDI.THIOABO」として検出)について解説します。

ユーザは、マルウェアがバンドルされたインストーラであることを知らずに不正ファイルを取得してしまう可能性があります。バンドルされたマルウェアは、以下の3つのコンポーネントをユーザのシステムにドロップします。

  • Windscribe VPNの正規インストーラ
  • 不正ファイル「lscm.exe」 – バックドアを含む
  • 不正アプリケーション – 不正ファイル「win.vbs」を実行するために機能する
図1:正規インストーラにバンドルされた不正アプリケーションのコンテンツ


図2:不正ファイルを実行する機能を示す不正ファイル「win.vbs」のコードコンテンツ

ユーザの画面上にはインストールの進行状況を示すウインドウ(図3)が表示され、これによりバックグラウンドで行われる不正活動が隠ぺいされる可能性があります。
図3:WindscribeVPNをインストールする際に表示されるウインドウ

ユーザの知らないうちに、不正ファイル「lscm.exe」は、特定の不正サイトからペイロードをダウンロードすることで、バックグラウンドで密かに動作します。次に、この不正サイトは、ユーザを別のWebページにリダイレクトして、暗号化されたファイル「Dracula.jpg」をダウンロードします。


図4:ペイロードをダウンロードするWebサイトを示す「lscm.exe」のコードスニペット

難読化された「Dracula.jpg」ファイルには、第一階層に復号ルーチンがあり、すべての「DTA」を「14」に置き換えてから、ファイルを文字列反転する必要があることを示しています。その後、16進値を文字列に変換する必要があることも示されています。そして値はエンコードされたbase64ファイルになります。

図5:復号ルーチンを示すコードスニペット

Dracula.jpgが持つ暗号化のレイヤーを復号すると、バックドアのペイロードが明らかになります。


図6:暗号化された不正ファイル「Dracula.jpg」


図7:暗号化された不正コード「Windscribe」

図8:復号されたファイル

バックドアは、ファイルのダウンロード、実行、アップデートなどのコマンドを実行したり、ユーザが利用するコンピュータ画面のスクリーンショットを取得したりすることもできます。

上記に加えてマルウェアは以下の情報を収集します。

  • ウイルス対策製品
  • コンピュータ名
  • オペレーティングシステム(OS)
  • ユーザ名

 

被害に遭わないためには

企業も個人ユーザも同様にVPNを使用してシステム保護を強化しています。
ただし、VPNのソフトをインストールしようとしてバンドルされたマルウェアまでインストールしてしまうと、システムが脅威にさらされてしまいます。したがって、アプリケーションのダウンロードは、アプリの公式サイトまたは正規のアプリマーケットプレイスなどの正規ルートからのみ行ってください。

多くの企業が安全なテレワークのためにVPNを設定して使用しています。自宅はリラックスできる場所ですが、ユーザは、デバイスのセキュリティに関しては決して警戒を緩めてはなりません。自宅でもユーザはデータ保護への対策措置を講じることに注意を払うことが最善策です。予防は治療に勝るという事実は、セキュリティ対策においても同じことが言えます。不正ファイルによる被害を回避する最善策は、不審なソースからファイルをダウンロードしないことです。これに配慮し、以下の対策が推奨されます。

【推奨対策】

  • アプリケーションやファイルは、公式サイトあるいはアプリストアからのみダウンロードしましょう。ダウンロード元において不審な点が感じられる場合は、所属企業のITチームに相談されることが推奨されます
  • 接続先URLを精査して、公式サイトまたはアプリストアを偽装したドメインか正規ドメインかを確認しましょう。スペルミスのあるドメイン名は明らかに危険信号であることに注意してください
  • 不審な送信元より受信した電子メールからアプリやファイルをダウンロードするのは控えましょう
  • 不審な電子メールに記されているリンクを選択しないでください。リンク先を確認したい場合、リンク上にカーソルを合わせるとリンク先URLのプレビューが表示されます。より安全性を確認したい場合はトレンドマイクロのSite Safety Centerで確認してください

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/26568

関連記事

ピックアップ記事

  1. 前回、前々回とご案内の「デジタル化・DX推進展」、皆さんはもう参加されましたか? 東京・大阪での展…
  2. テレワークやDX(デジタルトランスフォーメーション)、コロナ禍も後押しし、企業の働き方は大きく変わり…
  1. まだまだ開催中! デジタル化・DX推進展2022 ~イベントレポート編~ [PR]

  2. 松田軽太の「ボッチ情シスノススメ」#23:業務改善の実施は計画的に!

  3. 業務サービス辞典:クラウド型B2B請求代行サービス「SEIKYU+」

  4. 情シスアカデミア#01:ASP/SaaS/クラウド事始め「コンピュータの基礎」

  5. DXを実現するためのあるべきITシステム「スサノオ・フレームワーク」とは-IPA

  6. 使える! 情シス三段用語辞典126「HTTP/3」

  7. 【DX白書2021】日米企業におけるDX動向を解説-IPA

  8. いまさら聞けない【情シス知識】Windowsサンドボックス:君子危うきに近寄らず!?

  9. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

  10. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
ページ上部へ戻る