正規VPNインストーラにバックドアをバンドルし拡散する攻撃手口-セキュリティブログ

サイバー犯罪者はその時々に注目のトピックを使い、利用者を騙します。コロナ禍において必要性が高まっている技術の1つに、仮想プライベートネットワーク(VPN)があります。VPNを用いて通信内容を暗号化することで、ユーザのコンピュータとインターネット間での通信の安全性を確保し、諜報活動の試みからデータを保護することができます。
VPNは有用な機能ですが、特にこのコロナ禍の状況で多くの企業が安全性の高い自社のネットワークから離れてテレワークを続けていることにより、これまで以上に活用されていると推測されます。

この度、トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しています。サイバー犯罪者はこのようなVPNへの注目を利用して攻撃を仕掛けてきたものと言えます。

では、どんな内容だったのか、トレンドマイクロセキュリティブログからご紹介します。

今回の攻撃手口ですが、バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。
特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。

 

正規インストーラにバンドルされた不正ファイルを解析

今回の攻撃で確認された特定のバックドア型マルウェア(「Backdoor.MSIL.BLADABINDI.THA」として検出」)および関連不正ファイル(「Trojan.MSIL.BLADABINDI.THIOABO」として検出)について解説します。

ユーザは、マルウェアがバンドルされたインストーラであることを知らずに不正ファイルを取得してしまう可能性があります。バンドルされたマルウェアは、以下の3つのコンポーネントをユーザのシステムにドロップします。

  • Windscribe VPNの正規インストーラ
  • 不正ファイル「lscm.exe」 – バックドアを含む
  • 不正アプリケーション – 不正ファイル「win.vbs」を実行するために機能する
図1:正規インストーラにバンドルされた不正アプリケーションのコンテンツ


図2:不正ファイルを実行する機能を示す不正ファイル「win.vbs」のコードコンテンツ

ユーザの画面上にはインストールの進行状況を示すウインドウ(図3)が表示され、これによりバックグラウンドで行われる不正活動が隠ぺいされる可能性があります。
図3:WindscribeVPNをインストールする際に表示されるウインドウ

ユーザの知らないうちに、不正ファイル「lscm.exe」は、特定の不正サイトからペイロードをダウンロードすることで、バックグラウンドで密かに動作します。次に、この不正サイトは、ユーザを別のWebページにリダイレクトして、暗号化されたファイル「Dracula.jpg」をダウンロードします。


図4:ペイロードをダウンロードするWebサイトを示す「lscm.exe」のコードスニペット

難読化された「Dracula.jpg」ファイルには、第一階層に復号ルーチンがあり、すべての「DTA」を「14」に置き換えてから、ファイルを文字列反転する必要があることを示しています。その後、16進値を文字列に変換する必要があることも示されています。そして値はエンコードされたbase64ファイルになります。

図5:復号ルーチンを示すコードスニペット

Dracula.jpgが持つ暗号化のレイヤーを復号すると、バックドアのペイロードが明らかになります。


図6:暗号化された不正ファイル「Dracula.jpg」


図7:暗号化された不正コード「Windscribe」

図8:復号されたファイル

バックドアは、ファイルのダウンロード、実行、アップデートなどのコマンドを実行したり、ユーザが利用するコンピュータ画面のスクリーンショットを取得したりすることもできます。

上記に加えてマルウェアは以下の情報を収集します。

  • ウイルス対策製品
  • コンピュータ名
  • オペレーティングシステム(OS)
  • ユーザ名

 

被害に遭わないためには

企業も個人ユーザも同様にVPNを使用してシステム保護を強化しています。
ただし、VPNのソフトをインストールしようとしてバンドルされたマルウェアまでインストールしてしまうと、システムが脅威にさらされてしまいます。したがって、アプリケーションのダウンロードは、アプリの公式サイトまたは正規のアプリマーケットプレイスなどの正規ルートからのみ行ってください。

多くの企業が安全なテレワークのためにVPNを設定して使用しています。自宅はリラックスできる場所ですが、ユーザは、デバイスのセキュリティに関しては決して警戒を緩めてはなりません。自宅でもユーザはデータ保護への対策措置を講じることに注意を払うことが最善策です。予防は治療に勝るという事実は、セキュリティ対策においても同じことが言えます。不正ファイルによる被害を回避する最善策は、不審なソースからファイルをダウンロードしないことです。これに配慮し、以下の対策が推奨されます。

【推奨対策】

  • アプリケーションやファイルは、公式サイトあるいはアプリストアからのみダウンロードしましょう。ダウンロード元において不審な点が感じられる場合は、所属企業のITチームに相談されることが推奨されます
  • 接続先URLを精査して、公式サイトまたはアプリストアを偽装したドメインか正規ドメインかを確認しましょう。スペルミスのあるドメイン名は明らかに危険信号であることに注意してください
  • 不審な送信元より受信した電子メールからアプリやファイルをダウンロードするのは控えましょう
  • 不審な電子メールに記されているリンクを選択しないでください。リンク先を確認したい場合、リンク上にカーソルを合わせるとリンク先URLのプレビューが表示されます。より安全性を確認したい場合はトレンドマイクロのSite Safety Centerで確認してください

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/26568

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 悪しき慣習「パスワード付きzipファイル」もこれで終わるのか?

  2. 正規VPNインストーラにバックドアをバンドルし拡散する攻撃手口-セキュリティブログ

  3. パスワード付き圧縮ファイルに注意:IcedIDの攻撃が本格化の兆し-セキュリティブログ

  4. レポート「ニューノーマルの働き方改革 :すぐに始められるデジタル変革への道」後編

  5. レポート「ニューノーマルの働き方改革 :すぐに始められるデジタル変革への道」前編

  6. シリーズ『IDaaSの教科書』1)IDaaSって何ですか

  7. 【情シスの疑問】テレワークにVPNは必要なのか

  8. 「ゼロから学ぶ」ゼロトラスト#03:優先順位がキモ、ゼロトラストセキュリティ構築手順

  9. Office2010 EOS:サポート切れのソフトを使い続けてはいけないワケ-is702

  10. 知っ得スキル!もらってうれしいRFP ~最終章~提案受領へ

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  2. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  3. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
ページ上部へ戻る