VCURMS

ほぼこもセキュリティニュース By Terilogy Worx

VCURMSは、インフォスティーラー型マルウェアです。
これを展開する攻撃キャンペーンが確認されています。
どういったものなのでしょうか。

  • 初期感染
    始まりはフィッシングメールです。
    スタッフ部門の人をターゲットにしたもので、メールの中には支払い情報を確認させようとする内容になっています。
  • 添付ファイル?
    メールには添付ファイルとしてPDF文書があるように作られています。
    しかし、それをクリックすると、AWS上に置かれたJARファイルのダウンロードが行われるようになっています。
    JARはJavaのアーカイブファイルです。
  • JARの中身
    JARのなかのJavaのコードは難読化されています。
    これらの仕組みは、次の段階を取得します。
    次の段階は2つのJARになっていて、リモートから取得されます。
    JARの内容は拡張子がjpgなどとなっているもので構成されていますが、それらの拡張子は見た目を画像ファイルを装うためのもので、内容は画像ファイルではありません。
    中身はマルウェアの詰め合わせとなっています。
  • 中身の1つ:VCURMS
    これはインフォスティーラー型マルウェアです。
    DiscordやSteamのアプリからアカウント情報を盗み、ChromeやFirefoxなどの各種ブラウザからcookieや自動入力データなどを盗み、ネットワーク情報やプロセス情報などのシステムの状態を取得します。
    取得した情報は特定のPATHにまとめられ、脅威アクターのメールアドレスに送信します。
    VCURMSは収集した情報の持ち出しにメールを使用しますが、コマンドの伝達にもメールを使用します。
    特定の件名のメールがあるかを定期的にチェックし、見つけると本文からコマンドを取り出して実行します。
    今回のキャンペーンでは、メールサービスにProtonが利用されました。
  • 中身の1つ:STRRAT
    これは名前が示すように、RAT、リモートアクセストロイです。
    Javaで実装されていて、キーロガーとして機能したり、ブラウザやアプリケーションから資格情報を抽出したりするなど、幅広い機能を備えています。
    このマルウェアも難読化が行われています。
    AllatoriやBranchlockなどの難読化ツールを利用していて、構成情報も暗号化されていたりします。

これらのほかにも、キーロガーなどの他のマルウェアも含まれていて展開されます。

被害にあった人からしてみると、「ちょっと業務上必要に見えるPDFを開いただけなのに。」という感じですが、その結果として、複数のマルウェアに感染してしまうこととなりました。
フィッシングメールにしても、その他の脅威についても、見た目で分かりやすいような怪しさはどんどん減ってきています。
AIの功と罪、なのかもしれません。
注意していきましょう。

参考記事(外部リンク):VCURMS: A Simple and Functional Weapon
www.fortinet.com/blog/threat-research/vcurms-a-simple-and-functional-weapon