今回トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しました。バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。
サイバー犯罪者はその時々に注目のトピックを使い、利用者を騙します。コロナ禍において必要性が高まっている技術の1つに、仮想プライベートネットワーク(VPN)があります。VPNを用いて通信内容を暗号化することで、ユーザのコンピュータとインターネット間での通信の安全性を確保し、諜報活動の試みからデータを保護することができます。VPNは常に有用な機能ですが、特にこのコロナ禍の状況で多くの企業が安全性の高い自社のネットワークから離れてテレワークを続けていることにより、これまで以上に活用されると推測されます。サイバー犯罪者はこのVPNへの注目を利用して攻撃を仕掛けてきたものと言えます。
■正規インストーラにバンドルされた不正ファイルを解析
以下では今回の攻撃で確認された特定のバックドア型マルウェア(「Backdoor.MSIL.BLADABINDI.THA」として検出」)および関連不正ファイル(「Trojan.MSIL.BLADABINDI.THIOABO」として検出)について解説します。
ユーザは、マルウェアがバンドルされたインストーラであることを知らずに不正ファイルを取得してしまう可能性があります。バンドルされたマルウェアは、以下の3つのコンポーネントをユーザのシステムにドロップします。
- Windscribe VPNの正規インストーラ
- 不正ファイル「lscm.exe」 – バックドアを含む
- 不正アプリケーション – 不正ファイル「win.vbs」を実行するために機能する
ユーザの画面上にはインストールの進行状況を示すウインドウ(図3)が表示され、これによりバックグラウンドで行われる不正活動が隠ぺいされる可能性があります。
ユーザの知らないうちに、不正ファイル「lscm.exe」は、特定の不正サイトからペイロードをダウンロードすることで、バックグラウンドで密かに動作します。次に、この不正サイトは、ユーザを別のWebページにリダイレクトして、暗号化されたファイル「Dracula.jpg」をダウンロードします。
難読化された「Dracula.jpg」ファイルには、第一階層に復号ルーチンがあり、すべての「DTA」を「14」に置き換えてから、ファイルを文字列反転する必要があることを示しています。その後、16進値を文字列に変換する必要があることも示されています。そして値はエンコードされたbase64ファイルになります。
Dracula.jpgが持つ暗号化のレイヤーを復号すると、バックドアのペイロードが明らかになります。
バックドアは、ファイルのダウンロード、実行、アップデートなどのコマンドを実行したり、ユーザが利用するコンピュータ画面のスクリーンショットを取得したりすることもできます。
上記に加えてマルウェアは以下の情報を収集します。
- ウイルス対策製品
- コンピュータ名
- オペレーティングシステム(OS)
- ユーザ名
■被害に遭わないためには
企業も個人ユーザも同様にVPNを使用してシステム保護を強化しています。ただし、VPNのソフトをインストールしようとしてバンドルされたマルウェアまでインストールしてしまうと、システムが脅威にさらされてしまいます。したがって、アプリケーションのダウンロードは、アプリの公式サイトまたは正規のアプリマーケットプレイスなどの正規ルートからのみ行ってください。
多くの企業が安全なテレワークのためにVPNを設定して使用しています。自宅はリラックスできる場所ですが、ユーザは、デバイスのセキュリティに関しては決して警戒を緩めてはなりません。自宅でもユーザはデータ保護への対策措置を講じることに注意を払うことが最善策です。予防は治療に勝るという事実は、セキュリティ対策においても同じことが言えます。不正ファイルによる被害を回避する最善策は、不審なソースからファイルをダウンロードしないことです。これに配慮し、以下の対策が推奨されます。
- アプリケーションやファイルは、公式サイトあるいはアプリストアからのみダウンロードしましょう。ダウンロード元において不審な点が感じられる場合は、所属企業のITチームに相談されることが推奨されます
- 接続先URLを精査して、公式サイトまたはアプリストアを偽装したドメインか正規ドメインかを確認しましょう。スペルミスのあるドメイン名は明らかに危険信号であることに注意してください
- 不審な送信元より受信した電子メールからアプリやファイルをダウンロードするのは控えましょう
- 不審な電子メールに記されているリンクを選択しないでください。リンク先を確認したい場合、リンク上にカーソルを合わせるとリンク先URLのプレビューが表示されます。より安全性を確認したい場合はトレンドマイクロのSite Safety Centerでご確認ください
■トレンドマイクロの対策
本記事内で取り上げたマルウェアについては「ファイルレピュテーション(FRS)」技術により検出対応しています。個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、「FRS」技術によるウイルス検出、機械学習型検出、挙動監視機能(不正変更監視機能)など、多層の技術による検知により、侵入時点で検出未対応のマルウェアであってもその不正活動を検知してブロック可能です。同時にスパムメールの検出や、不正なURLをブロックすることによって、総合的な保護を提供します。
トレンドマイクロの「Trend Micro Smart Home Network™」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、トレンドマイクロがクラウド上に保有するWebレピュテーションデータベースと連携し、マルウェア配布サイトなど不正サイトへのアクセスをブロックします。
またホームネットワーク保護のための初めの一歩はセキュリティ診断を行うことです。弊社が提供する「オンラインスキャン for Home Network」は、家庭内のネットワークにセキュリティ上のリスクが存在しないかをチェックできる無料ツールです。
■侵入の痕跡(Indicators of compromise)
今回の記事に関する侵入の痕跡はこちらを参照してください。
参考記事:
- 「Cybercriminals Distribute Backdoor With VPN Installer」
by Raphael Centeno
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)