最近のMispadu Stealer

Mispadu Stealerは、インフォスティーラー型マルウェアです。
発見されにくいための細工が多数組み込まれたマルウェアで、2019年にはすでに観測されていました。
このマルウェアも時間の経過とともに姿や形を変化させています。
最近のものはどのような動きをするのでしょうか。

• 入口
  Mispadu Stealerは電子メールやFacebookのスポンサー付き広告を通じて拡散するような活動を展開していると考えられます。
  そういった入り口を使って、まずはZIPファイルの形式で怪しいファイルを侵害環境に持ち込みます。

   

• ZIPの中身のURLファイル
  ZIPのなかには、いくつかのファイルが含まれます。
  そのなかに、拡張子が「.url」のファイルがあります。
  この拡張子のファイルは、いわゆるインターネットショートカットで、ダブルクリックするだけで標準動作する設定がされたブラウザで特定のページを開くことのできるものです。
  そういうものですので、この中に記述されているリンク先は、通常は、httpやhttpsとなっています。
  しかし、この脅威ではそこに細工がされていました。
  「file」で始まる文字列となっていたのです。
  これはファイル共有を示すものなのですが、ホスト名部分にポート番号が80番であることを示す内容も記述されているため、80/TCPで通信されるような動作となります。

   

• 警告機能の回避
  こういった外部から持ち込まれたと判定できるファイルが実行される際には、通常は、警告画面が表示されます。
  WindowsのSmartScreen 機能です。
  しかし、今回の活動では、これは機能しませんでした。
  攻撃がCVE-2023-36025の脆弱性をつく内容となっているためです。
  持ち込まれたファイルは警告が表示されることなく動作を開始します。

   

• 侵害活動の開始地域
  持ち込まれたマルウェアは活動を開始するのですが、狙った地域でのみ活動を開始する機構が含まれていました。
  情報持ち出しをする際に、ブラウザの閲覧履歴を読み取るのですが、その際に侵害された環境のタイムゾーンを調査します。
  狙った地域でないことが確認されると、マルウェアは活動を終了します。

   

• ターゲットの調査
  侵害中の機器でターゲットとするサービスを利用した形跡があるかを調査します。
  調査はブラウザの閲覧履歴で実施します。
  ターゲットサービスのURLが含まれるのかを確認します。
  ここでもひと手間加えられています。
  ターゲットのURLを構成する情報はそのまま保持されていません。
  URLのFQDNを構成するドットで区切られたそれぞれのラベルの先頭に特定のHASH値を付け加えたうえで、さらにHASH化して保持するという技法を使用しています。
  これにより、パターンマッチでの活動内容の解釈を回避します。
  調査の結果、今回のキャンペーンのターゲットサービスは、金融機関、金融取引所、暗号通貨関連組織などでした。

   

• 狙いの活動の開始
  そもそものこのマルウェアの動機は金銭です。
  ターゲットのサービスを利用していることが確認できた侵害環境において、バンキング型トロイとしての活動を開始します。

Mispadu Stealerに限ったことではありませんが、マルウェアは変化していきます。
攻撃者はさまざまな新しい情報を収集し、新たな手口でやってきます。
わたしたちは、ファイルの入手経路を意識し、適用できるパッチは常にタイムリーに適用していくということで対抗することになりそうです。

参考記事（外部リンク）：最新 Mispadu Stealer 亜種の調査
unit42.paloaltonetworks.jp/mispadu-infostealer-variant/