正規VPNインストーラにバックドアをバンドルし拡散する攻撃手口-セキュリティブログ

サイバー犯罪者はその時々に注目のトピックを使い、利用者を騙します。コロナ禍において必要性が高まっている技術の1つに、仮想プライベートネットワーク(VPN)があります。VPNを用いて通信内容を暗号化することで、ユーザのコンピュータとインターネット間での通信の安全性を確保し、諜報活動の試みからデータを保護することができます。
VPNは有用な機能ですが、特にこのコロナ禍の状況で多くの企業が安全性の高い自社のネットワークから離れてテレワークを続けていることにより、これまで以上に活用されていると推測されます。

この度、トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しています。サイバー犯罪者はこのようなVPNへの注目を利用して攻撃を仕掛けてきたものと言えます。

では、どんな内容だったのか、トレンドマイクロセキュリティブログからご紹介します。

今回の攻撃手口ですが、バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。
特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。

 

正規インストーラにバンドルされた不正ファイルを解析

今回の攻撃で確認された特定のバックドア型マルウェア(「Backdoor.MSIL.BLADABINDI.THA」として検出」)および関連不正ファイル(「Trojan.MSIL.BLADABINDI.THIOABO」として検出)について解説します。

ユーザは、マルウェアがバンドルされたインストーラであることを知らずに不正ファイルを取得してしまう可能性があります。バンドルされたマルウェアは、以下の3つのコンポーネントをユーザのシステムにドロップします。

  • Windscribe VPNの正規インストーラ
  • 不正ファイル「lscm.exe」 – バックドアを含む
  • 不正アプリケーション – 不正ファイル「win.vbs」を実行するために機能する
図1:正規インストーラにバンドルされた不正アプリケーションのコンテンツ


図2:不正ファイルを実行する機能を示す不正ファイル「win.vbs」のコードコンテンツ

ユーザの画面上にはインストールの進行状況を示すウインドウ(図3)が表示され、これによりバックグラウンドで行われる不正活動が隠ぺいされる可能性があります。
図3:WindscribeVPNをインストールする際に表示されるウインドウ

ユーザの知らないうちに、不正ファイル「lscm.exe」は、特定の不正サイトからペイロードをダウンロードすることで、バックグラウンドで密かに動作します。次に、この不正サイトは、ユーザを別のWebページにリダイレクトして、暗号化されたファイル「Dracula.jpg」をダウンロードします。


図4:ペイロードをダウンロードするWebサイトを示す「lscm.exe」のコードスニペット

難読化された「Dracula.jpg」ファイルには、第一階層に復号ルーチンがあり、すべての「DTA」を「14」に置き換えてから、ファイルを文字列反転する必要があることを示しています。その後、16進値を文字列に変換する必要があることも示されています。そして値はエンコードされたbase64ファイルになります。

図5:復号ルーチンを示すコードスニペット

Dracula.jpgが持つ暗号化のレイヤーを復号すると、バックドアのペイロードが明らかになります。


図6:暗号化された不正ファイル「Dracula.jpg」


図7:暗号化された不正コード「Windscribe」

図8:復号されたファイル

バックドアは、ファイルのダウンロード、実行、アップデートなどのコマンドを実行したり、ユーザが利用するコンピュータ画面のスクリーンショットを取得したりすることもできます。

上記に加えてマルウェアは以下の情報を収集します。

  • ウイルス対策製品
  • コンピュータ名
  • オペレーティングシステム(OS)
  • ユーザ名

 

被害に遭わないためには

企業も個人ユーザも同様にVPNを使用してシステム保護を強化しています。
ただし、VPNのソフトをインストールしようとしてバンドルされたマルウェアまでインストールしてしまうと、システムが脅威にさらされてしまいます。したがって、アプリケーションのダウンロードは、アプリの公式サイトまたは正規のアプリマーケットプレイスなどの正規ルートからのみ行ってください。

多くの企業が安全なテレワークのためにVPNを設定して使用しています。自宅はリラックスできる場所ですが、ユーザは、デバイスのセキュリティに関しては決して警戒を緩めてはなりません。自宅でもユーザはデータ保護への対策措置を講じることに注意を払うことが最善策です。予防は治療に勝るという事実は、セキュリティ対策においても同じことが言えます。不正ファイルによる被害を回避する最善策は、不審なソースからファイルをダウンロードしないことです。これに配慮し、以下の対策が推奨されます。

【推奨対策】

  • アプリケーションやファイルは、公式サイトあるいはアプリストアからのみダウンロードしましょう。ダウンロード元において不審な点が感じられる場合は、所属企業のITチームに相談されることが推奨されます
  • 接続先URLを精査して、公式サイトまたはアプリストアを偽装したドメインか正規ドメインかを確認しましょう。スペルミスのあるドメイン名は明らかに危険信号であることに注意してください
  • 不審な送信元より受信した電子メールからアプリやファイルをダウンロードするのは控えましょう
  • 不審な電子メールに記されているリンクを選択しないでください。リンク先を確認したい場合、リンク上にカーソルを合わせるとリンク先URLのプレビューが表示されます。より安全性を確認したい場合はトレンドマイクロのSite Safety Centerで確認してください

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/26568

関連記事

カテゴリー:

セキュリティニュース

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る