McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

Corporate] 2016年8月31日 更新

旧式ながら効果的なパスワードスティーラーを活用したフィッシング攻撃

 

数カ月前、私たちはある顧客からサンプルを入手しました。このサンプルはパスワードスティーラー(PWS)であることが判明しました。このマルウェアにはある目立った特徴がありました。それはアクセスパネルのURLに使用されていたサブディレクトリです。ここには、文字列「***=**U=TEAM」(ここでは難読化して表示しています)が含まれていました。調査の結果、これは産業スパイのケースの可能性があることがわかりました。

08311_od001team_090316

この攻撃者は、侵入したWebサイトを使用してアクセスパネルをホストしました。幸いにも、彼らは侵入したサイトにドロップしたZIPファイルを残すという過ちを犯していました。

08312_od003team_090316_2

その結果、私たちはこのパネルのバックエンドの動作を確認することができました。このZipファイルには5つのファイルが含まれていました。

08313_od004team_090316_5

興味深かったファイルは、config.php、index.php、install.phpの3つです。

Config.phpには、彼らがセットアップするMySQLのパスワードが含まれています。

08314_od005team_090316_2

Install.phpは、データベースを作成するとともに、マルウェアによって盗み出されたパスワードを保管するパネルをセットアップします。このコードからは、次のスニペットが見つかりました。

08315_od006team_090316

調査を進めると、もともとこの「Bilal Ghouri」は、2009年にリリースされ人気を博したPWS Hackhound StealerのPHPバックエンドに関与していたことがわかりました。

また、コードの末尾にこの警告が見つかりました。

08316_od007team_090316

攻撃者は、忘れずにこのファイルを削除するべきでした。

08317_od008team_0903161

最も重要なファイルがindex.phpです。このファイルは、このマルウェアによってアップロードされたパスワードを保管します。また、攻撃者によるデータの検索やエクスポートも可能にします。

08318_od009team_090316

興味深いのは、このスクリプトが特定のユーザーエージェント「HardCore Software For :Public」をチェックする点です。

08319_od010team_090316

このユーザーエージェントは、盗み出したデータをアップロードするときにマルウェアによって使用されます。このPHPスクリプトは、データのアップロードを許可する前に、このユーザーエージェントがハードコードされたものとマッチするかどうかをチェックします。

083110_od014team_0903161

使用されたマルウェアはISR Stealerで、Hackhound Stealerの修正バージョンです。この調査結果は、前のPHPコードのコメントによって確認されています。

このPWSは以下のアプリケーションを標的にします。

  • Internet Explorer
  • Firefox
  • Chrome
  • Opera
  • Safari
  • Yahoo Messenger
  • MSN Messenger
  • Pidgin
  • FileZilla
  • Internet Download Manager
  • JDownloader
  • Trillian

以下のオリジナルのHackhound Stealerの画面には、このマルウェアの構築オプションが表示されます。

083111_od015team_090316_2

ISR Stealerビルダーのこの画面が、攻撃者によって使用されました。

083112_od017team_090319

ISR Stealerは、マシンからパスワードを収集するために、Nirsoftから提供されているMail PassViewとWebBrowserPassViewという2つの実行ファイルを活用します。これらのアプリは、メールクライアントとWebブラウザに保管されているパスワードを収集します。両ファイルとも、ISR Stealerのリソース内に常駐します。パネルのロケーションも、シンプルな暗号化形式SUB 0x02でこのマルウェアのリソースに保管されます。

083113_od020team_090320

暗号化されたURL

083114_od021team_090320

復号されたURL


もう少し調査を進めると、このマルウェアを使用する攻撃者が2016年の初頭から活動していることがわかりました。最初のサンプルが実環境で発見されたのは1月でした。

次のスピアフィッシングメールは、標的にPWSをダウンロードして実行させるために送信されたものです。

083115_od013team_090316

083116_od011team_090316

この攻撃者は数週間にわたって精力的に活動しましたが、イースター休暇中は動きが見られませんでした。しかし「イースター休暇」の後、私たちはパネルがわずかに変化したことに気付きました。現在含まれている文字列は、「Powered By NEW LINE OF *** **U TEAMS VERSION 2.1」です。

083117_od016team_0903161

侵入されたWebサイトの1つには、盗まれたパスワードをPWSから受信していたアクセスパネルが10個以上含まれていました。私たちは、スピアフィッシングの標的の一部が機械部品企業であることを突き止めました。攻撃者は次のようなファイル名を使用していました。

  • (RFQ__1045667machine-oil valves).exe
  • ButterflyCheckVALVES.exe
  • BALL VALVE BIDDING.exe
  • RFQ BALL VALVE.exe
  • Ball Valves with BSPP conection.exe

これらの名前から、私たちは攻撃者の動機は産業スパイであると確信しました。

083118_od018team_090320

私たちは、このマルウェアに拡張子「.z」が付与されていることも確認しました。その理由は、人気の高い一部のZipファイルハンドラによってこのファイル拡張子がプログラムに関連付けられ、ユーザーが解凍できるようになるからだと思われます。拡張子.zを使用すると、一部の主要なクラウドメールファイルの制約も迂回できます。

083119_od019team_090320

私たちは、この攻撃者に使用されているWebサイトの所有者に連絡してサイトが侵害されていることを告げ、パネルを削除することを推奨しました。

防止

インテル セキュリティ製品を使用すると、この脅威がPWS-FCGHとして検出されます。私たちは、ゲートウェイレベルで.zファイル拡張子をブロックすることを推奨します。これにより、フィッシング攻撃で他のマルウェアがこのテクニックを使用することを防止できます。


※本ページの内容は 2016年7月21日更新のMcAfee Blog の抄訳です。
原文: Phishing Attacks Employ Old but Effective Password Stealer
著者: Oliver Devane and Mohinder Gill

【関連記事】

第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
第16回:今だから学ぶ! セキュリティの頻出用語 : フィッシング とは?




必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.