ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

偽の * .BAT ファイルが銀行のなりすましページに導く

BAT ファイルを使うなんて古いと思われるのであれば考え直して下さい。(当社の)SecureEmail Gateway Cloud サービスを監視しているうちに、ブラジルのユーザーを対象とした疑いのあるスパムメールを発見しました。下図は、添付ファイルを開くようにユーザーを欺き誘惑する電子メールの詳細を示しています。

Email_binbat

"paulistana"という言葉は、「サンパウロに所属している、あるいはそこから来ているもの」を信 じさせるために使われており、疑いを持っていないユーザーにアピールしています。

以下が日本語訳です:

件名:添付はサンパウロの財務メモです、N-7632630091

本文:

添付のサービス提供の請求書です。

Josa Martins

電話(11)99876-6625

添付ファイル:Nota Fiscal - Pauline City Hall.zip

添付の ZIP ファイルには、意図的に UTF-16 でエンコードされたバッチファイルが格納されています。テキストエディタで開くと、いくつかの伝統的な中国語の文字が表示されます。

Encode_bat


0xFEFF のバイトオーダーマーク(BOM)は、バッチコードを効果的に隠すファイルの先頭に置かれます(Unicode テキストストリームの開始を示します)。ただし、16 進エディタでの表示方法は次のとおりです。

BOM

バッチファイルの分析により、次のような振る舞いが明らかになりました。

  1. 最初に C:¥{random_directory_name} にディレクトリを作成します。Batch_random
  2. PowerShell コマンドを使用して、PowerShell スクリプトと PShellExec.exe をダウンロード します。Batch_power
  3. PShellExe.exe を使用すると、ダウンロードした PowerShell スクリプトが最初に暗号化さ れ、元のスクリプトが削除され、暗号化されたスクリプトが実行されます。Batch_PsExec
  4. 最後に、暗号化された PowerShell スクリプトの実行を可能にする VBScript を作成しま す。持続性のために、STARTUP フォルダにシンボリックリンクを作成します。Batch_persistence

PowerShell スクリプトの分析:

最初の印象としては、このスクリプトは Matthew Graeber によって書かれた既存の PowerShell Script を使用しているようです。PowerShell は、PowerShell ベースのコード/ DLL 注入モジュ ールでもあります。脅威アクターは、基本的に次のコードの一部を追加します。

  1. ディレクトリの作成に使用するランダムな文字を生成します。 Powershell_random
  2. 32 ビットまたは 64 ビットの OS バージョンをチェックし、対応する DLL をダウンロードし ます。Powershell_download

    デコードされた Base64 リンク:

    hxxp://panel-anonimato.cf/TMP/Dexter/Arquiteto.64.dll
    hxxp://panel-anonimato.cf/TMP/Dexter/Arquiteto.dll

  3. PowerSyringe モジュールを使用して、DLL を svchost.exe に注入します。Powershell_injects

注入された DLL - マルチバンカートロージャン(トロイの木馬)

DLL が svchost.exe に適切に注入されると、ユーザーの活動を監視してブラジルの銀行にアク セスしようとしているかどうかを確認し始めます。ユーザーがオンラインバンキングサイトにア クセスすると、攻撃者がユーザーの PIN コードを取得するための偽のフォームが画面に表示さ れます。

以下が、画面を覆うために使用される銀行と偽のフォームです:

  1. BanrisulForm_banrisul
  2. Itaú UnibancoForm_itau
  3. Banco do NordesteForm_nordeste
  4. Banco SantanderForm_santander
  5. SicoobForm_sicoob
  6. SicrediForm_sicredi

侵害証跡(IoC):

Nota-Fiscal - Prefeitura Paulistana.bat - メールの添付ファイル
MD5: 70EA097616DFC8D4AE8B8AD4BDB1CD96
SHA1: E830EC9F194BF72740D9AB62B633E0862E18A143

Ma{ユーザー名}.vbs – バッチファイルによって作成される
MD5: 7FDD656E476FC4AEFF19609FD14FB070
SHA1: 451515709EEE19D680A622753CB6802056ED84A5

1.ps1 – ダウンロードされる
MD5: BA0239533DD7F85CB0D1DF58FC129222
SHA1: 7366B78713808D4A23C9FC8B141D1DF1C2FB1FED

{ランダム}.ps1.bin – エンコードされた 1.ps1
MD5: BAFAEBF21A288826525BA0703EFC384B
SHA1: A4049F8FE337D148B25DD60AA7F1BF9E783538DD

PShellExec.exe - ダウンロードされる
MD5: B34B92270968DB55AB07633C11AD0883
SHA1: EF2AB66243F385559792ED6360D4A5C0D435C328

Arquiteto.64.dll - x64 マシンに対してダウンロードされる
MD5: ED053046882301A893DDA1171D62DD50
SHA1: 0A1731A6D594C908866A9A317DE9AAA1BADD3AB1

Arquiteto.dll - x86 マシンに対してダウンロードされる
MD5: E94EA2673908D605F08C6A6D666DC97E
SHA1: 836C0521DF76EDF48447CA1218DFBF3725010F51