ブラジルを標的にした新たなバンキング型トロイの木馬「CHAVECLOAK」

米国時間2024年3月4日に掲載されたフォーティネットブログの抄訳です。

影響を受けるプラットフォーム：　Microsoft Windows
影響を受けるユーザー：　　　　　Microsoft Windowsユーザー
影響：　　　　　　　　　　　　　被害者のデバイスを制御して、機密情報を収集
深刻度：　　　　　　　　　　　　高

FortiGuard Labsは先頃、ある脅威アクターが悪意のあるPDFファイルを使用して、金融機関を狙ったトロイの木馬、CHAVECLOAKを拡散していることを発見しました。この複雑な攻撃では、PDFを介してZIPファイルがダウンロードされた後、DLLサイドローディングの手法を使って最終的なマルウェアが実行されます。CHAVECLOAKは、特にブラジル国内のユーザーを標的にして設計されており、金融活動に関連する機密情報の窃取を目的としています。

図1はこのサイバー攻撃の詳細なフローを示しています。

南米におけるサイバー攻撃の動向として、金融機関を狙ったトロイの木馬はフィッシングメール、悪意のある添付ファイル、ブラウザの不正操作など多様な戦術を採用しています。有名なものとしては、Casbaneiro（別名Metamorfo / Ponteiro）、Guildma、Mekotio、Grandoreiroなどが挙げられます。これらのトロイの木馬は、オンラインバンキングの認証情報や個人データを不正に入手することに特化されており、ブラジルやメキシコなどの国々のユーザーにとって大きな脅威となっています。CHAVECLOAKのコマンド&コントロール（C2）サーバーのテレメトリを図2に示します。このブログでは、CHAVECLOAKマルウェアについて詳しく解説します。

初期ベクトルのPDF

図3のPDFは、契約に関する文書が含まれていることを通知しており、説明はポルトガル語で書かれています。被害者は、添付された文書を読んで署名するためにボタンをクリックするよう誘導されます。しかし、ストリームオブジェクトには、不正なダウンローダーへのリンクがひそかに埋め込まれています。デコードされたURLを図4に示します。このURLは、無料のリンク短縮サービス「Goo.su」で処理され、最終的にはhxxps://webattach.mail.yandex.net/message_part_real/NotaFiscalEsdeletronicasufactrub66667kujhdfdjrWEWGFG09t5H6854JHGJUUR[.]zipにリダイレクトされて、ZIPファイルがダウンロードされます。ZIPファイルを解凍すると、MSIファイル「NotafiscalGFGJKHKHGUURTURTF345.msi」が生成されます。

MSIインストーラ

MSIインストーラを解凍したところ、数種類の言語の設定に関連する複数のTXTファイル、正規の実行ファイル、「Lightshot.dll」という不正なDLLファイルが確認されました。特にこのDLLファイルは、インストーラに含まれる他のすべてのファイルよりも更新日が新しいことから、その異常性がよくわかります。

MSIインストーラを調べると、ポルトガル語で記述された構成全体が明らかになります。インストーラは「Lightshot.exe」ファイルを実行し、必要なファイルを抽出して「%AppData%\Skillbrains\lightshot\5.5.0.7」に格納します（図6）。

次に、「Lightshot.exe」ファイルがDLLサイドローディングの手法を用いて、悪意のあるDLL「Lightshot.dll」の実行を有効化します。この手法では、正規の実行ファイルを使って悪意のあるコードをひそかに読み込んで実行できるため、データ窃取などの不正行為が容易になります。「Lightshot.dll」が実行するアクションには、機密情報の違法取得といった隠密で有害な操作が含まれます。DLLサイドローディングは、マルウェアが正規のプロセスを悪用することを可能にし、検知されることなく不正な目的を達成できるため、セキュリティ上の重大な脅威となります。

バンキング型トロイの木馬CHAVECLOAKの「Lightshot.dll」

このプロセスではまず、「GetVolumeInformationW」を呼び出し、ファイルシステムと、特定のルートディレクトリに関連付けられたボリュームに関する情報を収集します。そして、取得したHEX値を使用して、「%AppData%[HEX ID]lIG.log」内にログファイルを作成します。続いて、「Lightshot」というレジストリ値を「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に追加します。これにより、ユーザーのログイン時に「Lightshot.exe」プログラムが自動的に実行されます。ロギングと永続化が完了すると、hxxp://64[.]225[.]32[.]24/shn/inspecionando.phpにHTTPリクエストを送信します。位置情報をチェックして被害者がブラジル国内にいることが確認されると、「clients.php」パスでアクセス可能なサーバーにデータを保存します（図8）。

その後、「GetForegroundWindow」と「GetWindowTextW」の各APIを使用して、最前面のウィンドウを定期的に監視します。ウィンドウを識別し、その名前を銀行関連文字列の定義済みリストで確認すると、C2サーバーとの接続を確立します。

マルウェアは被害者の認証情報を盗み出すために、被害者の画面のブロック、キーストロークのロギング、偽のポップアップウィンドウの表示（図10）など、オペレーターのさまざまなアクションを支援します。また、従来型の銀行取引と暗号通貨のプラットフォームの両方を対象に、被害者から特定の金融ポータル（数行の銀行、Mercado Bitcoinなど）へのアクセスを積極的に監視します。

ユーザーが入力したログインデータを取得すると、マルウェアはhxxp://comunidadebet20102[.]hopto[.]orgのC2サーバーとの通信を開始します。窃取されたデータに関係している銀行に応じて、それぞれのパスに情報をアップロードします（Mercado Bitcoinの場合は「04/M/」）。

次に、必須のシステム情報が含まれたPOSTリクエストを送信し、「InfoDados」パラメータにアカウント情報を設定します（図12）。

旧型亜種

我々は、CHAVECLOAKの旧型亜種もチェックインサイトから入手しました。そのプロセスは以前のものとは異なり、ZIPファイルにはDelphi実行ファイルが含まれ、RCDataセクションに最終ペイロードが埋め込まれています。

旧型亜種はまず、システム情報を取得して新しいフォルダを作成し、「C:\Program Files (x86)\Editor-GH-[HEX ID]\Editor-[HEX ID].exe」にペイロードを保存します。それと同時にログファイルも作成し、永続性を確保した後、PowerShellコマンド「Add-MpPreference –ExclusionPath」を使用して、Windows Defenderのスキャンから「Editor-GH-[HEX ID]」パスを除外します。次に、hxxp://64[.]225[.]32[.]24/desktop/inspecionando.phpにチェックインリクエストを送信します。被害者のチェックイン日が2023年に始まっていることから、この亜種は初期のバージョンのようです。

旧型亜種はユーザーの行動も積極的に監視し、前面ウィンドウのテキストを取得します。また、所定の銀行およびビットコインのログインページから、氏名、パスワード、キーストロークなどの個人情報を収集します。そして、窃取したデータをhxxp://mariashow[.]ddns[.]net/dtp/cnx.phpのC2サーバーに送信します。

結論

バンキング型トロイの木馬「CHAVECLOAK」の出現は、金融セクターを標的にしたサイバー脅威、中でもブラジル国内のユーザーを狙った攻撃が展開されていることを裏付けています。悪意のあるPDF、ZIPファイルのダウンロード、DLLサイドローディング、偽のポップアップなど高度な手法を使用して、南米を主な標的とする各種の有名なバンキング型トロイの木馬が結集されています。CHAVECLOAKは言語がポルトガル語に設定されており、戦略的にこの地域を狙っていることを示しています。また、金融ポータルでの被害者の操作も積極的に監視しています。CHAVECLOAKは現代のバンキング型トロイの木馬が巧妙化していることを実証しており、南米の金融情勢において進化し続ける脅威を防御するには、継続的な警戒とプロアクティブなサイバーセキュリティ対策が必要です。

フォーティネットのソリューション

FortiGuardアンチウイルスは、このブログで解説したマルウェアを、以下の不正プログラムとして検知しブロックします。

PDF/Agent.72C4!tr
W32/Banker.CNX!tr

FortiGate、FortiMail、FortiClient、FortiEDRは、FortiGuardアンチウイルスサービスをサポートしています。これらの各ソリューションには、FortiGuardアンチウイルスエンジンが含まれています。したがって、最新の保護機能を備えたこれらの製品をお使いのお客様は、脅威から保護されています。

不正なURLは、FortiGuard Webフィルタリングサービスによって「悪意のあるWebサイト」として識別されます。

FortiGuard CDR（コンテンツ無害化）サービスにより、ドキュメント内の不正なマクロを無効化することができます。

フォーティネットでは、無料でご利用いただけるサイバーセキュリティトレーニングのFortinet Certified Fundamentals（FCF）もお勧めしています。このトレーニングは、エンドユーザーが今日の脅威情勢を認識し、基本的なサイバーセキュリティの概念と技術を習得することを目的としています。

FortiGuard IPレピュテーションおよびアンチボットセキュリティサービスは、フォーティネット分散ネットワークから不正な送信元のIPデータを集約し、攻撃を事前にブロックします。この分散ネットワークでは、脅威センサー、CERT、MITER、協力関係にある他社、その他のグローバルソースが連携し、悪意ある送信元に関する最新の脅威インテリジェンスを提供しています。

組織が上記のマルウェアやその他のサイバーセキュリティ攻撃を受けていると思われる場合は、フォーティネットのグローバルFortiGuardインシデントレスポンスチームまでご連絡ください。

IOC（Indicators of Compromise：侵害指標）

IP

64[.]225[.]32[.]24

URL

hxxps://webattach.mail.yandex.net/message_part_real/NotaFiscalEsdeletronicasufactrub66667kujhdfdjrWEWGFG09t5H6854JHGJUUR[.]zip
hxxps://goo[.]su/FTD9owO

ホスト名

mariashow[.]ddns[.]net
comunidadebet20102[.]hopto[.]org

ファイル：

51512659f639e2b6e492bba8f956689ac08f792057753705bf4b9273472c72c4
48c9423591ec345fc70f31ba46755b5d225d78049cfb6433a3cb86b4ebb5a028
4ab3024e7660892ce6e8ba2c6366193752f9c0b26beedca05c57dcb684703006
131d2aa44782c8100c563cd5febf49fcb4d26952d7e6e2ef22f805664686ffff
8b39baec4b955e8dfa585d54263fd84fea41a46554621ee46b769a706f6f965c
634542fdd6581dd68b88b994bc2291bf41c60375b21620225a927de35b5620f9
2ca1b23be99b6d46ce1bbd7ed16ea62c900802d8efff1d206bac691342678e55