影響を受けるプラットフォーム:Microsoft Windows
影響を受けるユーザー :Microsoft Windows
影響 :被害者の機密情報を収集
深刻度 :高
4月に、FortiGuard Labsは、不正なHTMLファイルを含むフィッシングメールを使用して、主にスペイン語話者のユーザーを標的とするHorabotマルウェアを拡散する脅威アクターを確認しました。Horabotは、請求書や財務ドキュメントを装った細工されたEメールを使用して被害者を騙し、悪意のある添付ファイルを開かせることで、Eメールの認証情報を盗んだり、連絡先リストを収集したり、バンキング型トロイの木馬をインストールすることで知られています。
Horabotは、Outlook COMの自動化を利用して、被害者のメールボックスからフィッシングメッセージを送信することで、企業ネットワークや個人ネットワーク内を水平方向に拡散することができます。また、脅威アクターは、VBScriptやAutoIt、PowerShellを組み合わせて実行して、システムの偵察、認証情報の盗難、および追加のペイロードのインストールを行います。
FortiGuard Labsが収集したテレメトリによると、これらの攻撃は、ラテンアメリカのメキシコ、グアテマラ、コロンビア、ペルー、チリ、およびアルゼンチンのユーザーを標的にしています。
フィッシングメール
このフィッシングメールは、受信者を騙してEメールや添付ファイルを開かせるために、メキシコの「正規の」送信者からのものでスペイン語で記載されており、件名ラインは、添付されている請求書(Factura Adjunta)を参照しています。このメッセージには、購入したサービスや製品のPDF請求書が添付されている旨が記載されており、ユーザーに添付ファイルを開くよう促します。
ただし、添付されているZIPファイルには、不正なHTMLファイルが含まれており、「iframe」タグ内のデータがBase64でエンコードされています。デコード後のデータも、リモートURL(hxxps://t4[.]contactswebaccion[.]store/0704/)を含むHTMLデータであり、次段のペイロードのダウンロードに使用されます。
このURLを使用すると、JavaScriptを含むWebページに移動し、直ちにハードコードされたZIPファイル「ADJUNTOS_23042025.zip」のダウンロードを試みます。
ファイル「ADJUNTOS_23042025.zip」にはHTAファイルが含まれており、<body>に、使用しない大量の文字列があります。<script>タグで、ブラウザのリダイレクト技術である「moveTo(7426, 6245)」を使用して、ウィンドウの位置を変更します。その後、「hxxps://d1[.]webcorreio[.]pics/LNIJGPNIPPK/WWGDI」からスクリプトが読み込まれます。
リモートサーバー上のスクリプトによって、「hxxps://dl[.]webcorreio[.]pics/g1/」にホストされている外部VBScriptが注入されます。このVBScriptがHTMLの<head>要素に付加されることで、ユーザーのブラウザ環境内でステルス性の高い実行が可能になります。このスクリプトは、被害者の環境を確認したり、追加のペイロードの配布に役立ちます。
「hxxps://dl[.]webcorreio[.]pics/g1/」のVBScriptは、2文字ごとに処理するカスタムルーチンの文字列デコードを実施することで、数学的な変換を実行し、URL、PowerShellコマンド、その他の命令などの隠されている文字列を再構築します。このメソッドは、マルウェアが実行されるまで、実際の振る舞いを隠し続けることで、静的な検知を回避することができます。
このスクリプトのメインタスクとデコード後の文字列のスクリーンショットを以下に示します。
1. 環境の検知および回避
・アンチウイルス回避:Avastアンチウイルスがインストールされていることを示すフォルダ「C:\Program Files\Avast Software」の存在の有無を確認します。見つかった場合、スクリプトは終了します。
・仮想マシンの検知:この関数は、WMI(Windows Management Instrumentation)を利用して、BIOSとシステムモデルの文字列をクエリします。仮想環境に関係する「VirtualBox」、「VMware」、および「Hyper-V」などのキーワードを探し、検知された場合、直ちに終了します。
・特定のマシンを回避:このスクリプトは、マシン名が「JOHN-PC」の場合も終了します。
2. フォルダの準備:作業ディレクトリを確認し、「C:\Users\Public\LAPTOP-0QF0NEUP」が存在しない場合、作成します。存在する場合、潜在的な再感染を防止するために、スクリプトを終了します。
3. 収集および流出:このプロセスは、被害者の基本情報を収集し、ローカルIPアドレス、コンピュータ名、ユーザー名、およびWindowsバージョンを取得します。次に、収集したデータを、HTTP POSTを介して、「hxxps://d1[.]webcorreio[.]pics/g1/ctld/salvar.php」に送信します。
4. AutoItの準備
・ペイロードのダウンロード:2つのリモートサーバー(「209[.]74[.]71[.]168」および「d1[.]webcorreio[.]pics」)から複数のファイルをダウンロードし、「LAPTOP-0QF0NEUP」という名前のフォルダに格納します。ダウンロードされるファイルには、2つの正規の実行ファイルがあります。「exe.txt」はAutoIt3.exeであり、winupdate_version_686.exeとして保存され、「sc.gif」はスクリプトから実行ファイルへの変換ツールのAut2Exe.exeであり、winupdate_version_377.exeとして保存されます。また、他に2つの不正ファイルも含まれています。「6.txt」は暗号化されたペイロードで、winupdate_version_535.iaとして保存され、「gerador.php」はAutoItの復号化スクリプトで、winupdate_version_758.gifという名前に変更されます。
・スクリプトのセットアップ:Aut2Exe.exeを利用して、スクリプト「winupdate_version_758.gif」から.a3xにコンパイルしたAutoItファイルに変換します。このファイルは、暗号化されたペイロード「winupdate_version_535.ia」を復号化するタスクを担います。.a3xファイルが生成されると、後続の実行を行うために、名前を「winupdate_version_067.ai」に変更します。このマルウェアは、検知を避けるために、重要ファイルの属性を、非表示、システム、および読み取り専用に変更します。このフェーズの最後のステップとして、タイムスタンプを「C:\Users\Public\id」に書き込み、感染時刻を記録します。
5. PowerShellの準備:Batchスクリプト(.bat)を作成してテキストファイル(.tws)をデコードし、「hxxps://labodeguitaup[.]space/a/08/150822/au/au」から取得したPowerShellスクリプトを実行します。このスクリプトは、フィッシングメールの拡散を担います。
6. 永続性:最初に、%Startup%フォルダと%AppData%フォルダ内のすべての.lnk、.cmd、.bat、.exe、.vbs、および.twsファイルを削除します。次に、新しいショートカットの.lnkファイルを作成し、AutoItのペイロード(winupdate_version_686および.aiの引数)に関係するドロップされた非表示ファイルを正確に指定します。また、システム起動時にBatchスクリプトを実行してPowerShellを実行できるように、.lnkファイルを構成します。
7. 実行および消去:作成されたショートカットを、ExecutionPolicy Bypassを付加したPowerShellコマンドを介して実行することで、スクリプトの実行制限を回避したり、mshta.exeをキルすることができます。
次のセクションでは、暗号化されたデータやリモートPowerShellを使用して実施される活動について詳しく説明します。
AutoItスクリプトの「winupdate_version_067.ai」は、復号化に使用されます。同じディレクトリ内にある「.ia」ファイルを検索し、ハードコードされたキー「99521487」を使用して復号化し、復号化された不正なDLLを注入することで、「B080723_N」のエントリポイントを実行します。
DLLは、まず、被害者のマシンから、現在の日時、OSのバージョン、ユーザー名、ホスト名、インストールされているアンチウイルスソフトウェアなどのシステム情報を収集します。次に、POSTリクエストを介して、このデータをコマンド&コントロールサーバーの「hxxp://209[.]74[.]71[.]168/on7all/index15.php」に送信します。流出したデータは、次の2つのパラメータに整理されます。ATは、タイムスタンプやOSタイプ、ユーザーIDなどの情報を保持します。MDは、特にアンチウイルスソフトウェアの存在や名前を識別します。このような構造化されたテレメトリにより、攻撃者は、感染システムのプロファイルを作成できます。
その後、このマルウェアは引き続き、標的とするBrave、Yandex、Epic Privacy Browser、Comodo Dragon、Cent Browser、Opera、Microsoft Edge、およびGoogle ChromeのなどのさまざまなWebブラウザからブラウザ関連のデータを盗み出します。データが収集されると、データを、リモートサーバーの「hxxp://93[.]127[.]200[.]211/a/08/150822/au/logs/index.php?CHLG」に流出させます。
Horabotはデータの盗難だけでなく、被害者の行動を監視し、機密なユーザーログインの認証情報を取得するよう設計された偽のポップアップウィンドウを注入します。これらのオーバーレイウィンドウは、復号化された不正なDLLのRCData(リソースデータ)セクション内に埋め込まれ、外部の視覚コンポーネントに依存せずに、ステルス性の高い展開や実行を実現します。
前述のVBScriptの「hxxps://labodeguitaup[.]space/a/08/150822/au/au」上のターゲットスクリプトの目的は、リモートサーバー「hxxp://93[.]127[.]200[.]211/a/08/150822/au」上ある別の6つのスクリプト(「app」、「a2」、「a3」、「a4」、「a5」、および「a6」)を実行することです。「a5」ファイルが空である理由は不明ですが、残りのファイルで、被害者のリストの作成、Eメールの自動化、およびHorabotペイロードの効率的な配布の全サイクルを実行できます。
「app」は、感染チェックとして機能し、マーカーファイル(C:\Users\Public\d240425)の存在の有無を確認し、存在する場合、実行します。次に、実行中のOutlookインスタンス(Outlook.exe)を強制的に終了し、COMオブジェクトを使用してOutlookをクリーンな状態で起動します。次に、Outlook.Applicationオブジェクトを作成し、そのMAPI名前空間にアクセスした後、空のリストを初期化してEメールアドレスを収集し、ブロックドメインリスト(「gmail」、「hotmail」、「outlook」、「edu」、「con.mx」、および「facebook」)を定義します。これにより、個人用、学術用、およびFacebook関連のEメールを回避できます。
「a2」スクリプトには、メールアドレスのリストを作成するための2つの関数が含まれています。1つ目の関数は、OutlookのAddressLists内の連絡先データをスキャンするように設計されています。連作先ごとに、AddressEntryUserTypeをチェックして、メールアドレスを直接取得できるか、GetExchangeUser()を使用してプライマリSMTPアドレスを抽出して解決する必要があるかを判断します。2つ目の関数は、Outlookのメールボックス構造内のすべてのフォルダを再帰的に走査し、同じロジックを使用して各メッセージの受信者と送信者の両方からEメールアドレスを抽出し、フィルタリングします。
「a3」スクリプトは、可視性を低下させるために、収集したアドレスを「APPDATA\Microsoft\.Outlook」に保存し、Eメールリストを外部サーバーの「labodeguitaup[.]space.」に送信します。次に、別のサーバーの「93[.]127[.]200[.]211」からペイロードを取得し、後で使用するために、応答内容をBase64に変換します。このルーチンから、このマルウェアは、標的のデータを収集するだけでなく、将来的なやりとりや配布段階のカスタマイズの準備を進めていることが示唆されます。
「a4」スクリプトは、正規の請求書に偽装した悪意のあるEメールを作成して配信します。サーバー「93[.]127[.]200[.]211」から取得したペイロードを、ファイル名「.PDF.html」で保存し、一般的な請求書の添付ファイルに偽装した.zipファイルに圧縮します。
次に、Outlookを介して、このアーカイブを添付ファイルとして送信する準備を行います。抽出したEメールアドレスを参照し、「Verificar-PalavrasBloqueadas(ブロック単語の確認)」関数を使用して、Gmail、Yahoo、Hotmail、edu、Facebook、および.con.mxなどの既知のドメインを除外します。有効な標的ごとにEメールアイテムが作成され、それぞれに「FWD Factura Adjunta(FWD 請求書の添付)」を参照する件名ライン、添付されている請求書に関するスペイン語の本文メッセージ、および添付ファイルの不正なzipアーカイブが含まれます。
Eメールが送信されると、スクリプト「a6」で、すべての痕跡と関連するファイルを削除して、検知される可能性を低減させます。
結論
Horabotは、特にラテンアメリカで、フィッシング攻撃の脅威が増大し高度化していることを示しています。請求書を装ったスペイン語のEメールを通じて拡散し、人々を騙して、有害な添付ファイルを開くよう仕向けます。このマルウェアは、VBScript、AutoIt、およびPowerShellを使用して自身を隠し、ログイン認証情報を盗み、Eメールの連絡先を収集します。また、Outlookを使用して、より多くの被害者に自身を送付することで、会社や個人のネットワーク全体に拡散します。
このマルウェアは、WindowsとOutlookの通常の動作を組み合わせて設計されているため、気付くことが困難です。組織は、不審なEメールをブロックし、未知のファイルの活動を監視し、フィッシング詐欺に注意するよう従業員を教育する必要があります。
フォーティネットのソリューション
このレポートで説明されているマルウェアは、FortiGuardアンチウイルスサービスで次の名称で検知されブロックされます:
HTML/Phishing.683A!tr
HTML/Agent.9DFA!tr
AutoIt/Agent.HA!tr
BAT/Agent.PR!tr
FortiGate、FortiMail、FortiClient、およびFortiEDRは、FortiGuardアンチウイルスサービスをサポートしています。FortiGuardアンチウイルスエンジンは、これらの各ソリューションに含まれています。その結果、最新の保護機能を備えたこれらの製品を使用するお客様は保護されます。
また、フォーティネットの無料のFortinet Certified Fundamentals(FCF)サイバーセキュリティトレーニングを受講することをおすすめします。このトレーニングは、ユーザーが、今日の脅威の状況について学習できるように設計されており、サイバーセキュリティの基本的な概念とテクノロジーを紹介しています。
FortiGuard IPレピュテーションおよびアンチボットネットセキュリティサービスは、フォーティネット分散ネットワークから得られた不正な送信元のIPデータを一元的に収集することで、マルウェア攻撃を事前にブロックします。この分散ネットワークは、脅威センサー、CERT、MITRE、協力関係にある競合他社、その他のグローバルソースなどが連携して、悪意ある送信元に関する最新の脅威インテリジェンスを提供します。
お客様の組織が、この脅威やその他のサイバーセキュリティ脅威の影響を受けていると思われる場合、FortiGuardグローバルインシデントレスポンスチームまでお問い合わせください。
IOC(Indicators of Compromise:侵害指標)
Domain
t4[.]contactswebaccion[.]store
f5[.]contactswebaccion[.]space
labodeguitaup[.]space
209[.]74[.]71[.]168
93[.]127[.]200[.]211
d1[.]webcorreio[.]pics
updatec[.]lat
SHA256
SCRIPT
523d7e9005b2e431068130989caf4a96062a029b50a5455d37a2b88e6d04f83d
84d77737196ea5a8cb0efd8fc3ea61a878d1e1851cc63bcb1e0868019c71996f
13a5c60a799c104a7bb1ff1489b82031c2ea1ed10712ca019e996fc0e37e9dfa
2ba471519bed0a5503408fee0593bc13547c88cfb10872a9739c2b1eaa5a287c
a885b89bb145dde56f6b63fcbf3560fb7179df43df5d212217ca583405beceb8
AUTOIT
25be06643204fc7386db3af84b200d362c3287b30c7491b666c4fe821a8c6eb4
5368f9f0994b28295aaf7d7af586d78827a95c6eb359a3921ebaa8d2fe1c98a9
f7140c28921dcf9ac542965a37b5473432f39b34f00161b6f0c0f8af7c9551a5
BATCH
265a11951f6ac1fd1f150d2711e0158a59416dd709759b39904470f44c83272a
370ccca7392282056f20b45829d0cac92acacfc07ab9699c54b3695649713854
コメント