proofpoint社が新種のランサムウェア(Ransoc Ransomware)を発見

概要

Ransomwareは、昨年、爆発的に爆発的になり、膨大な電子メールキャンペーンやさまざまなエクスプロイトキットを介して、容易な収益化と配布の容易さのため、多くの脅威アクターのマルウェアになりました。

Proofpointの調査によると、2015年12月以降、ransomwareの亜種の数は10倍に増加しています。

Proofpointの研究者は最近、犠牲者のファイルを暗号化し、Bitcoinsで身代金を支払うことを要求しているが、機密情報の可能性があるファイルやトレントをスキャンしながら、個人情報のSkypeやソーシャルメディアプロファイルを盗む新しい亜種を発見しました。

ファイルを暗号化するのではなく、犠牲者に身代金を払わなければ、偽の訴訟手続きで被害者を脅かします。

発見

10月の最後の週に、FoxIT InTELL(フランク・ルイス)の同僚が新しいブラウザロッカーの変種を指摘しました。

Lockyのような従来の暗号化されたransomwareとは異なり、ブラウザロッカーは、ユーザーがオペレーティングシステムにアクセスしたり、ブラウザウィンドウを閉じることを妨げる、フルスクリーンのWebアプリケーションです。

この場合、ブラウザのロッカーは、法的措置の脅威を回避し、不快なコンテンツや疑わしい行為の罰金をはるかに犠牲にして、犠牲者に「裁判外に解決する」偽の「罰則通知」を表示します。

被害者のコンピュータ(図1)。

ransoc-1

Figure 1: Browser locker “Penalty Notice”

このブラウザロッカーは、Windows上のInternet ExplorerとOS X上のSafariを対象とした悪意のあるトラフィック(主に成人向けのPlugrushとTraffic Shopトラフィック交換によって供給される)を介して米国に広まっています。

このタイプの脅威は2012年から2014年の間に風土病であり、「警察ロッカー」マルウェアによる悪用キットを介して同時に広がっていました[1]。

それ以来、同種のトラフィックは、暗号トランスクリプトやその他のマルウェアの脆弱性の脆弱性を悪用した脅威から、犠牲者は偽の技術サポートサービスに連絡して、クレジットカードで支払うこと。

しかし、11月の第1週には、視覚的および主題的な類似性と配布メカニズムに基づいて、図1に示されている「ペナルティ通知」ブラウズに結びついていると思われる異常なマルウェアの亜種を発見しました。

ただし、ブラウザロッカーはクロスプラットフォームで機能しますが、Ransocと呼ばれる関連マルウェアはWindowsバイナリです。

Ransoc

サンドボックス環境では、この新しいマルウェアがIPチェックを実行し、そのトラフィックをすべてTorネットワーク経由で送信することが確認されました。

さらに調査したところ、マルウェアは、児童ポルノに関連する文字列のローカルメディアファイル名をスキャンしたことが明らかになりました。

また、Skype、LinkedIn、およびFacebookプロファイル(図2)と相互作用するいくつかのルーチンを実行していたことに気付きました。

ransoc-2

Figure 2: Code examining Skype and social media profiles

The code also examined folders from Torrent software (Figure 3).

ransoc-3

Figure 3: Code examining Torrent folder contents

これらのサービスとのマルウェアの相互作用の性質を判断するために、私たちはサンドボックスで手動で実行しました。

偽のソーシャルネットワークアカウントにログインし、ブラウザを閉じてSkypeデスクトップアプリケーションを起動しました。 疑わしいように、マルウェアを実行した後、私たちは、作成した偽のFacebookおよびLinkedInプロファイルに接続することがわかりました(図4)。

ransoc-4

Figure 4: Ransoc capturing photos from social media account profiles

Ransocと呼ばれるマルウェアは、ソーシャルメディアへの接続のために、図1に示すブラウザロッカーと視覚的に機能的に類似したペナルティ通知を表示しました。

新しいペナルティ告知が図5に示されています。このペナルティ告知は、マルウェアがTorrents経由でダウンロードされた児童ポルノやメディアファイルの潜在的な証拠を見つけ、発見した内容に基づいてペナルティ通知をカスタマイズする場合にのみ表示されます。

特定の文字列に一致するようにファイル名を手動で変更した場合、ペナルティ告知が表示されました。

ransoc-5

Figure 5: New penalty notice with social media profile information and a threat stating that “All Collected Data will be made public and the case goes to trial!”

身代金メッセージには、プロフィール写真を含むSkypeやソーシャルメディアのプロフィールから取得した正確な個人データが表示されます。

それは、収集された「証拠」を公開することを脅かし、機密情報が実際に暴露される危険性があることを犠牲者に説得するための正当な社会的プロファイル情報をソーシャルエンジニアリングによる誘いとして使用する。

ほとんどのransomwareの亜種とは異なり、ここでのターゲットはファイルではなく、犠牲者の評判です。 Ransocには、犠牲者のWebカメラにアクセスするためのコードも含まれていますが、この機能は検証されませんでした。

身代金メッセージは実際には図1に示すブラウザロッカーアプリケーションのように機能するフルスクリーンウィンドウです。

しかし、Ransocはregedit、msconfig、およびtaskmgrを100msごとにチェックし、犠牲者がマルウェアを削除または無効にする前にプロセスを強制終了します。

Ransocはレジストリ自動起動キーのみを使用して永続化しますので、セーフモードで再起動するとユーザーはマルウェアを削除できます。

検証したサンプルには、HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ JavaErrorHandlerレジストリキーがあり、ショートカットパス名の値は ‘JavaErrorHandler.lnk’で終わっていましたが、将来のバージョンでは別のキーが使用される可能性があります。

支払いシステム(図6)も珍しいものです。

ransoc-6

Figure 6: Ransoc payment page

ransomwareのスキームでは、クレジットカードの支払いはほとんど知られていません。 Bitcoin処理に関連する多くの犠牲者の手間と混乱を取り除きますが、サイバー犯罪者への活動をより容易に追跡するための法執行を潜在的に可能にします。

身代金支払いに対するかなり大胆なアプローチは、脅威主体が、身代金を支払っている人々がおそらく法執行機関からの支援を求めることはないと隠すのに十分だと確信していることを示唆している。

実際、Ransocは本物の犯罪者に対する警戒主義に動機付けられているように見えるかもしれないが、攻撃者は当局に抵抗したり通知したりして支払いの可能性を高めないユーザーをターゲットにしているため、利他的ではない。

この理論は、RansocがBitTorrent経由で不正にダウンロードされたメディアや特定の種類のポルノの証拠に遭遇した場合にのみ、ほとんどの犠牲者がこのマルウェアを成人のウェブサイト上で悪意のある行為によって遭遇し、ペナルティ通知が表示されるという事実によってさらに裏付けられています。

支払いを奨励するために、被告人が180日以内に再び逮捕されなければ、お金が返還されると主張している。

結論

攻撃キットの活動は過去1年間で急激に減少しましたが、悪意のある活動は依然として強く、脅威の実行者たちは被害者を感染させ、このベクターを通じて資金を奪う新しい方法を模索しています。

ソーシャルメディアアカウントとSkypeプロファイルからのデータを組み込むことで、Ransocは、ブラウジングの習慣やハードドライブの内容に関して起訴される危険性のあるターゲットを説得するために、強制的に社会的に設計された身代金メモを作成します。

支払いを集めるための大胆なアプローチでは、脅威の実行者たちは、ransomwareの流通と収益化に新しいレベルの洗練を導入することで、自社の目標に自信を持っています。

参照:

https://www.proofpoint.com/us/threat-insight/post/ransoc-desktop-locking-ransomware-ransacks-local-files-social-media-profiles?utm_source=secweek