著者：Dr. Fahim Abbasi, Nicholas Ramos, Rodel Mendrez, Gerald Carsula

以前のブログで、マルウェアに感染した偽の請求書にターゲットを誘導する 㻹icrosoft 㻿harepoint の 㼁㻾㻸 を スパム発信する、金融ソフトウェア顧客を標的としていた一連の詐欺師を紹介しました。今回は、同じグルー プが、マルウェアに感染した偽のオーストラリアの電力と 㼀elco 請求書にリンクしている同様の 㻹icrosoft 㻿harepoint 㼁㻾㻸 をスパム発信する、別の広範なキャンペーンを行なっているのを観察しました。

偽 Energy Australia 詐欺

かつて 㼀㻾㼁energy として知られていた 㻱nergy 㻭ustralia は、オーストラリアの発電および小売業の民間企 業です。2017 年 9 月 18 日、私たちは偽装された 㻱nergy 㻭ustralia の電気代請求書のフィッシングメッセー ジが増えていることを目撃しました。

スパムメッセージ

スパム/フィッシングメッセージは、図 1 および 2 に示すように、偽の 㻱nergy㻭ustralia の電気料金として表示 されます。詐欺師は正当な電子メール請求テンプレートをコピーして、犠牲者にフィッシングメッセージを信じ させます。ここで重要な点は、これらのメッセージは、公式の 㻱nergy㻭ustralia ドメイン 「energyaustralia.com.au」とは異なるドメイン「energybrandlab.com」から送信されることです。ドメイン 「energybrandlab.com」のさらなる分析で、それが 2017 年 9 月 17 日に作成され、我々が以前のブログで指 摘したのと同じ詐欺師のグループによって登録されたことが明らかになりました。このドメインの登録者情報 は次のとおりです。

図 1：偽の電気料金請求書

図 2：異なる金額の偽の電気料金請求書

正当な見解を示すメッセージは、リンクをクリックして彼の電気料金を表示するようにユーザーを誘導するよ うに設計されています。このリンクをクリックすると、㼃eb ブラウザが次の 㼁㻾㻸 に移動します。

• hxxp://eoaclk(.)com/v5yMMueJT0/victim@domain(.)com.au/?docid=0c686998b26934002b1b3aa20d8340828&authkey=AfesB7cc4NVl6W0ZE5wKqSA&expiration=2017-12-16T21:48:00.000Z

このドメインは、図 4 に示すように、㻹icrosoft 㻿hare㻼oint 㼁㻾㻸 への 㻴㼀㼀㻼 302 一時リダイレクトを実行しま す。

• hxxps://viridor-my(.)sharepoint(.)com/personal/lawalters_viridor_co_uk/_layouts/15/guestaccess.aspx?docid=0c686998b26934002b1b3aa20d8340828&authkey=AfesB7cc4NVl6W0ZE5wKqSA&expiration=2017-12-16T21:48:00.000Z

この 㼁㻾㻸 を参照すると、図 3 に示すように zip ファイル（ "㻱nergy㻭ustralia 㻱lectricity bill.zip"）がシステムに ダウンロードされます。302 リダイレクトは、詐欺師が使用する新しい回避的な方法です。以前のキャンペー ンでは、悪質なスクリプトをホストしている 㻿hare㻼oint 㼁㻾㻸 を直接指していました。

図 3：㼁㻾㻸 をクリックすると、偽の「㻱nergy㻭ustralia 㻱lectricity bill.zip」ファイルがダウンロードされる

図 4： 㻿harepoint 㼁㻾㻸 への 㻴㼀㼀㻼 一時 302 リダイレクトを示す 㻴㼀㼀㻼 トラフィック

アーカイブを解凍すると、㻶ava㻿cript ファイル「㻱nergy㻭ustralia 㻱lectricity bill.js」（図 5 を参照）に展開されま す。㻶ava㻿script ファイルは、非常に難読化されているように見え、ダウンローダとエグゼキュータとして機能 します（図 6 参照）。

図 5：圧縮されたアーカイブは、㻱nergy㻭ustralia という名前の悪質な 㻶ava㻿cript ファイルに展開されます。

マルウェア分析：

㻶㻿cript には、難読化された文字列が含まれています。これは、1 行の 㻼ython コードで簡単に難読化を解除できます（図 7 参照）。

サンプル難読化文字列：

難読化解除：

この 㻶㻿cript は、基本的にはトロイの木馬のダウンローダとランチャーです。2 つのファイルをダウンロードし ます。最初のファイルは 㻱㼄㻱 で、2 番目のファイルは 㻼㻰㻲 です。㻼㻰㻲 はバイナリ（㻱㼄㻱）がバックグラウンドで実行されている間にユーザーを欺くために表示される 㻱nergy 㻭ustralia の偽請求書です。

これが気がついていない犠牲者に提示される 㻱nergy 㻭ustralia 請求書のスクリーンショットです（図 8 を参照）。

図 8：㻲ake 㻱nergy 㻭ustralia 請求書はユーザーに表示されます

この実行ファイルは、2010 年にコードが流出した 㻵㻿㻲㻮 㻭㻷㻭 㼁rsnif/㻳ozi として知られる有名なバンキングトロージャン（銀行情報を狙うトロイの木馬）の亜種であることが判明しました。実行するとsvchost.exe の新しいプロセスが作成され、そのプロセスにそのコードが注入されます。

マルウェアは、ファイル名が「sample.exe」、 「mlwr_smpl.exe」、または 「artifact.exe」の場合、プロセス注入を回避します。また、次の 㼃indows ユーザー名が見つかった場合は、実行を回避します。

• TEQUILABOOMBOOM
• Wilbert
• admin
• SystemIT
• KLONE_X64-PC
• John Doe
• BEA-CHI
• John

システム情報を収集し、178.33.188.154:443のコマンド＆コントロール（サーバー）に送信します。

このマルウェアは、ブラウザプロセスをフックし、ブラウザの動作を監視するように設計されています。さらに、新しいマルウェアをインストールするために、キーロガー、電子メール、㻲㼀㻼 グラバー、スクリーングラバー、ダウンローダなどの追加プラグインをダウンロードできます。

図 9 ブラウザプロセスのマルウェアチェック

侵害の痕跡（IOC）：

URLs

• hxxps://cyrilorchard-my[.]sharepoint[.]com/personal/craydon_care_cyrilorchard_co_uk/_layouts/15/guestaccess.aspx?docid=030b41de800d34d78b8255b678bc7271a&authkey=AYua-r8lG2pSyjyGVKylOz8
• hxxps://tracsc-my[.]sharepoint[.]com/personal/jonathan_tongue_tracscare_co_uk/_layouts/15/guestaccess.aspx?docid=0de8352ff82f2437ba7534ac18728d804&authkey=AT0x3YE-hry2jT-0qHSAesg
• hxxp://94[.]23[.]249[.]41/manager/manager.tool
• hxxp://94[.]23[.]61[.]195/files/Gas_bill.pdf
• hxxp://94[.]23[.]249[.]41/manager/Notification_1-BYH7K31.pdf

コマンド＆コントロール：

• 178.33.188.154:443

ファイル

• %TEMP%/ZgUiIDs5.exe (SHA1: e44e92474796762c63d336c363ff7a0c43868ace)
• %TEMP%/j9eEWNq.pdf – 悪意のない偽の請求書

偽の Telstra 詐欺

偽の 㻱nergy 㻭ustralia スパムメールに加えて、我々はまた 2017 年 9 月 27 日に偽 㼀elstra 請求書詐欺に遭 遇しました（図 10 を参照してください）。㼀elstra はオーストラリアの通信会社です。詐欺師は、請求書を見るボタンを有する偽造 㼀elstra 請求書を含む合法的に見える電子メールメッセージをスパム発信しました。

図 10：偽 㼀elstra 㻿cam メッセージ

これらのスパムメッセージは、同じ悪意のあるアクターによるものと考えられる以下に示すドメイン 「businessdirs.com」から送信されました。

スパムメッセージの「請求書を見る」ボタンをクリックすると、Energy Australia 詐欺に見られるスクリプトに似た SharePoint 㼁㻾㻸 から JavaScript ファイルがダウンロードされます（図 11 参照）。

図 11：ダウンロードされた難読化された悪質な 㻶㻿 サンプル

㻶㻿 ダウンローダは、Energy Australia の詐欺に見られるように、㼁㻾㻿㻺㻵㻲 の代わりにEMOTETマルウェアの バイナリファイルをダウンロードします（図 12 参照）。

図 12：㼁rsnif マルウェアのダウンロード

また、以下に示す Telstra 請求書の 㻼㻰㻲 ファイルもダウンロードします（図 13 および図 14 参照）。

図 13：偽の 㻼㻰㻲 請求書をダウンロードしてユーザーに表示

図 14：偽 Telstra 請求書 㻼㻰㻲

侵害証跡（IoC）

• URL:
  • hxxps://livedmsystemco-my(.)sharepoint(.)com/personal/vikki_dmsystem_co_uk/_layouts/15/guestaccess.aspx?docid=0005ccf72c5ae4fa6b492b233e27de460&authkey=AUfKUwbb0-6HBMJe8ZRrm-g
  • higgidy-my(.)sharepoint.com:443
  • hbhydraulicengineering-my(.)sharepoint.com:443
• CnC:
  • 94(.)23(.)211.92/type/type-c.info
  • 94(.)23(.)251.221/document/Telstra_Bill.pdf
• ハッシュ:
  • SHA1: A54E9FD76848368002FE842E3F95D9A114742410

結論

詐欺師は、マルウェアを広めるために、オーストラリアの通信会社や電力会社になりすました偽造請求書を スパム発信している。これらの請求書は、バンキングトロージャンへの悪意のあるリンクとともに蔓延しています。詐欺師は、マルウェアをホストするために 㻹icrosoft 㻿hare㻼oint サービスを悪用しています。スパム電子メールは、以前に報告された同じグループが所有する新たに登録されたドメインを使用して送信されています。評判の良いオンラインサービスへのリンクの背後にマルウェアを隠すことが、スパムゲートウェイによる検出を回避する手段として使用されています。感染したことに気がついていない犠牲者には、疑いを避けるために合法に見える囮の 㻼㻰㻲 請求書が示されます。