Fortinetは4月4日(米国時間)、「Byakugan – The Malware Behind a Phishing Attack｜FortiGuard Labs」において、ポルトガル語のPDFファイルを介してマルウェア「Byakugan」を配布するサイバー攻撃のキャンペーンを発見したとして、注意を喚起した。このキャンペーンは2024年1月に発見され、Adobe Readerを装ってマルウェアを配布するという。

○感染経路

このキャンペーンでは、最初に特徴的なPDFファイルが配布される。このPDFファイルを開くと全体的にぼやけた画像が表示され、画面中央に「ドキュメントを読むためにここをクリックしてAdobe Readerを無料でダウンロードしてください」とする文章が表示される。文章の指示に従いクリックするとマルウェアローダーがダウンロードされる。

マルウェアローダーが起動すると、ローダー自身のコピーが「require.exe」として一時フォルダーにコピーされ、続けてダイナミックリンクライブラリ(DLL: Dynamic Link Library)の検索パス上位に位置するフォルダに悪意のある「BluetoothDiagnosticUtil.dll」が作成される。マルウェアローダーは次に正規のmsdt.exeを起動する。

msdt.exeは正規のBluetoothDiagnosticUtil.dllをロードしようとするが、DLL検索パス上位に存在する悪意のあるBluetoothDiagnosticUtil.dllをロードする(DLLハイジャッキング)。ロードされたDLLは一時フォルダのrequire.exeを起動する。

require.exeは最初に起動したマルウェアローダーそのものだが、ファイル名がrequire.exeの場合に動作が切り替わる仕組みになっており、攻撃者のコマンド＆コントロール(C2: Command and Control)サーバからマルウェア「Byakugan」本体をダウンロードしてインストールする。

○マルウェア「Byakugan」の概要

最終的にインストール、実行されるマルウェア「Byakugan」はNode.jsで作成されたマルウェアとされる。主な機能としては、画面の監視、スクリーンショットの窃取、マイニングの実行、キーロガー、ファイル操作、ブラウザーの機密情報窃取、検出対策、永続化などを備えている。

このキャンペーンでは、正規のmsdt.exeなどを使用してユーザーアカウント制御(UAC: User Account Control)の保護やWindows Defenderの検出を回避してシステムを侵害する。Fortinetは今回の分析の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）