.urlファイルのチェック不具合を悪用したマルウェア感染に注意、更新を
Trend Microは1月12日(米国時間)、「CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign」において、Microsoft Defender SmartScreenの脆弱性「CVE-2023-36025」を悪用して情報窃取マルウェア「Phemedrone」を配布するキャンペーンについて調査結果を報告した。
○脆弱性「CVE-2023-36025」の概要
「CVE-2023-36025」で追跡されるMicrosoft Defender SmartScreenの脆弱性は、インターネットショートカット(.url)ファイルのチェックと関連するプロンプトの欠如に起因する不具合。この脆弱性を悪用することで、SmartScreenの警告とチェックをバイパスし、悪意のあるファイルをダウンロードして実行するインターネットショートカットファイルを作成することができる。
Microsoftはこの脆弱性に対する修正パッチを2023年11月14日に公開している。しかしながら、概念実証(PoC: Proof of Concept)コードが作成、公開されたことで、さまざまなマルウェアキャンペーンで悪用されるようになった。そのため、この脆弱性は米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の脆弱性カタログに追加されている。
○情報窃取マルウェア「Phemedrone」の配布
攻撃者は、情報窃取マルウェア「Phemedrone」を配布する目的で悪意のあるインターネットショートカットファイルをDiscordやFileTransfer.ioなどのクラウドサービスに配置。標的のユーザーを誘惑したり、だましたりして、ファイルを開かせたとみられている。
インターネットショートカットファイルを開くと、攻撃者が管理するサーバからコントロールパネルアイテム(.cpl)がダウンロード、実行される。このとき、Microsoft Defender SmartScreenによる警告は脆弱性の影響により表示されない。次にコントロールパネルの処理を通じて悪意のあるダイナミックリンクライブラリ(DLL: Dynamic Link Library)がロード、実行される。
ダイナミックリンクライブラリはPowerShellを使用して次のステージのPowerShellスクリプトをGitHubからダウンロードして実行する。このように複数の段階を踏んでいくつかのマルウェアローダをダウンロード、実行して永続性を確保し、最終的に情報窃取マルウェア「Phemedrone」をメモリ上に展開して実行する。
○「Phemedrone」が備える機能
Trend Microによると、Phemedroneには次のような情報を収集して窃取する機能があるとされる。
Chromiumベースのブラウザの情報。LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile、Microsoft Authenticatorに保存されているパスワード、Cookie、自動入力情報なども収集する
さまざまな暗号資産ウォレットアプリのファイル
Discordの認証トークン
ドキュメントやデスクトップなど特定のフォルダのファイル
FileZillaのFTP接続情報と認証情報
Geckoベースのブラウザのユーザーデータ
ハードウェア仕様、位置情報、オペレーティングシステム情報など、広範囲のシステム情報とスクリーンショット
Steamゲームプラットフォームに関連するファイル
Telegramの「tdata」フォルダ内の認証関連ファイル
○対策
この脆弱性はすでに修正パッチが公開されているにもかかわらず、攻撃者は継続して悪用を試みているとみられる。Trend Microはこの脅威からシステムを保護するために、Windowsを更新して修正パッチを適用することを推奨している。
○脆弱性「CVE-2023-36025」の概要
「CVE-2023-36025」で追跡されるMicrosoft Defender SmartScreenの脆弱性は、インターネットショートカット(.url)ファイルのチェックと関連するプロンプトの欠如に起因する不具合。この脆弱性を悪用することで、SmartScreenの警告とチェックをバイパスし、悪意のあるファイルをダウンロードして実行するインターネットショートカットファイルを作成することができる。
Microsoftはこの脆弱性に対する修正パッチを2023年11月14日に公開している。しかしながら、概念実証(PoC: Proof of Concept)コードが作成、公開されたことで、さまざまなマルウェアキャンペーンで悪用されるようになった。そのため、この脆弱性は米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の脆弱性カタログに追加されている。
○情報窃取マルウェア「Phemedrone」の配布
攻撃者は、情報窃取マルウェア「Phemedrone」を配布する目的で悪意のあるインターネットショートカットファイルをDiscordやFileTransfer.ioなどのクラウドサービスに配置。標的のユーザーを誘惑したり、だましたりして、ファイルを開かせたとみられている。
インターネットショートカットファイルを開くと、攻撃者が管理するサーバからコントロールパネルアイテム(.cpl)がダウンロード、実行される。このとき、Microsoft Defender SmartScreenによる警告は脆弱性の影響により表示されない。次にコントロールパネルの処理を通じて悪意のあるダイナミックリンクライブラリ(DLL: Dynamic Link Library)がロード、実行される。
ダイナミックリンクライブラリはPowerShellを使用して次のステージのPowerShellスクリプトをGitHubからダウンロードして実行する。このように複数の段階を踏んでいくつかのマルウェアローダをダウンロード、実行して永続性を確保し、最終的に情報窃取マルウェア「Phemedrone」をメモリ上に展開して実行する。
○「Phemedrone」が備える機能
Trend Microによると、Phemedroneには次のような情報を収集して窃取する機能があるとされる。
Chromiumベースのブラウザの情報。LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile、Microsoft Authenticatorに保存されているパスワード、Cookie、自動入力情報なども収集する
さまざまな暗号資産ウォレットアプリのファイル
Discordの認証トークン
ドキュメントやデスクトップなど特定のフォルダのファイル
FileZillaのFTP接続情報と認証情報
Geckoベースのブラウザのユーザーデータ
ハードウェア仕様、位置情報、オペレーティングシステム情報など、広範囲のシステム情報とスクリーンショット
Steamゲームプラットフォームに関連するファイル
Telegramの「tdata」フォルダ内の認証関連ファイル
○対策
この脆弱性はすでに修正パッチが公開されているにもかかわらず、攻撃者は継続して悪用を試みているとみられる。Trend Microはこの脅威からシステムを保護するために、Windowsを更新して修正パッチを適用することを推奨している。
