偽サイトからRedLine Stealerに感染させるキャンペーンを確認

ブラウザのChromeを装った偽のアップデート要求画面から、情報窃取型マルウェアの一種であるRedLine Stealerに感染させようとする攻撃を日本国内で確認しています。偽のアップデートファイルをダウンロード・実行してしまった場合、マルウェアに感染する恐れがあります。

概要

2022年4月頃に、改ざんされたと思われるいくつかの日本のサイト(JPドメイン)から、RedLine Stealerを配布するサイトに誘導される事例を確認しました。Chromeを装った偽のアップデート要求画面から誤って偽のアップデートファイルをダウンロード・実行した場合、マルウェアに感染し情報が窃取される恐れがあります。

この攻撃は4月に確認され、5月上旬には誘導されなくなりましたが、今後同様の手口による攻撃が行われる可能性もあるため、注意が必要です。

RedLine Stealer について

RedLine Stealerは2020年から存在が報告[1]されている情報窃取型のマルウェアです。感染した場合、WEBブラウザの認証情報を中心に、端末のハードウェアやインストールされているソフトウェアに関する様々な情報が窃取される恐れがあります。VPN クライアントの認証情報などもターゲットとしており、企業のアカウント情報が漏洩した場合は二次被害に発展する恐れもあります。

これまでもWEBやメール経由で拡散され、人気メッセージアプリや不正ツールのインストーラに偽装していたケースなどが報告されています。2021年には暗号資産のウォレットデータ窃取機能が追加されるなど、機能追加も行われています。

偽のアップデート要求画面について

今回のRedLine Stealerに感染させるキャンペーンでは、JavaScriptを使用し正規のページをランディングページに置き換えて表示することで、ユーザを欺こうとしていました。

※この記事内におけるランディングページは、改ざんされた正規サイトから転送されるChromeを装った偽のアップデート要求画面のことを指します。

改ざんされた正規サイト(Compromised Site 1)に不正に挿入されたと考えられるスクリプト(図 1)が読み込まれると、base64エンコーディングされた値がデコードされ、結果的にframesetタグが記載されたHTMLコード(図 2)が返されます。

図1 不正に挿入されたと考えられるスクリプト
図2 デコードした結果のHTMLコード

framesetタグはウィンドウを分割するための要素ですが、図2のように指定することで、ページ全体が攻撃者の指定したサイトに置き換わります。なお、今回置き換えられたサイト:jquery-bin[.]comを経由してランディングページに誘導されることを確認しています。(サイト:jquery-bin[.]comから必ずランディングページに転送されるわけではありません。)

ランディングページに転送されると、ブラウザの提供元とは関係のないサイト上に、Chromeを装った偽のアップデート要求画面(図 3)が表示されます。一見すると、アクセス先のURLは改ざんされた正規サイトですが、実際にユーザから見えるサイトはランディングページに変更されており、ブラウザのURLバーから転送されたことに気付くのは困難です。

偽のアップデート要求画面の中央にある「Update Chrome」ボタンを押すことで、偽のアップデートファイルがダウンロードされます。

3 偽のアップデート要求画面

ランディングページについては、誘導に利用された改ざんサイトとは別の改ざんサイト(Compromised Site 2)が利用されていました。今回のRedLine Stealerに感染させるキャンペーンの攻撃の例を図4に、その攻撃の流れの概要を図5に示します。

図4 攻撃の例
図5 攻撃の流れの概要

偽のアップデートファイルについて

偽のアップデートファイルはzip形式やrar形式でダウンロードされます。rar形式は見慣れない方もいるかと思いますが、WinRAR独自のファイル圧縮形式です。今回入手した検体はいずれもRedLine Stealerがzip形式で圧縮され、ダウンロードされることを確認しました。

zipを解凍すると、アップデートファイルを装ったRedLine Stealer本体が展開されます(図 6)。

RedLine Stealer本体のexeはChromeのアイコンが設定されており、ファイル名からもアップデートファイルを装っていることが伺えます。このアップデートファイルを実行しマルウェアに感染した場合、ユーザの認証情報等が窃取される恐れがあります。

図6 ダウンロードしたZIPファイルの内容

なお、ZIPファイルには偽のアップデートファイルの他に、「Privacy Policy」フォルダが同梱されており、中には複数の言語に対応したrtfファイル等が保存されていました。ただし、rtfファイルを確認したところブラウザのアップデートとは関係のない内容でしたので、これはユーザを欺く一環で同梱された可能性が考えられます。

被害にあわないために

Chromeをアップデートする際は、ブラウザ自体の設定から実施することを推奨します。なお、Chromeのアップデートは自動で行われています。最新のバージョンかどうかは、ブラウザ右上のその他アイコンより[ヘルプ] > [Google Chrome について]から確認できます。

また、ダウンロードしたファイル経由でブラウザをアップデートする必要がある場合は、信頼できる提供元かどうかを確認することで、マルウェア感染を防げます。

今回のRedLine Stealerに感染させるキャンペーンでは、正規のページをランディングページに置き換えるため、ユーザ視点でランディングページに転送されたことに気付くのは難しいでしょう。本来ブラウザのアップデートファイルを提供していないサイトからアップデートファイルが配布されている場合などは、注意が必要です。

他には、普段利用されないrar圧縮形式や、関係のない「Privacy Policy」フォルダの存在など、こういった小さな違和感に気がつくことが大切です。

考察

今回のキャンペーンとよく似た攻撃に、下記のFakeUpdatesキャンペーンと呼ばれる偽のアップデート要求画面からマルウェアに感染させる攻撃[2]があげられます。

FakeUpdatesキャンペーンでは、偽のアップデート要求画面からダウンロードしたJavaScriptを実行することでマルウェアに感染します。また、このような類似した攻撃を含め、偽のアップデートを装った攻撃は各所から報告されております。

そのため、今回ご紹介した事例に限らず、偽のアップデートを装った攻撃にはご注意ください。今後は、こういった通信を発見・確認した際は、早期に当ブログにて共有したいと思います。

参考情報

[1] New RedLine Password Stealer Virus Insights

https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign

[2] ‘FakeUpdates’ campaign leverages multiple website platforms

https://blog.malwarebytes.com/threat-analysis/2018/04/fakeupdates-campaign-leverages-multiple-website-platforms/

IoC(Indicators of Compromise)

ファイル

・2804update.exe

2DF8E9ED8C6E8527DFC509A764AFFD557B782AF60DE2639F1C40E0E13C049CA5 (SHA-256)

通信先

誤操作防止の観点から.(ドット)を[]で括って記載しております。またhttpsは、hxxpsに変換して記載しております。

・Redirector

hxxps://jquery-bin[.]com/jWXxbH

・RedLine Stealer C2

193[.]106[.]191[.]185:25497 (TCP)

ラックが提供するサービス

脅威情報提供サービス「JLIST®」サービスにおいて、悪性通信先のブラックリストを提供しています。ラックの知見を結集して作成した悪性通信先のブロックリストのご利用をご検討ください。

脅威情報提供サービス「JLIST®」

資料ダウンロードフォーム

https://krs.bz/lac/m/jlist_material

JLISTは、国産の脅威情報(ブロックリスト)提供サービスです。

通信時の検知にご活用ください。最新のサイバー攻撃を未然に防御するために、セキュリティ対策製品と連動可能な国産脅威情報を提供するサービスです。セキュリティ製品の防御・検知機能と連動であることから、お客様の手を煩わせることなくインシデント発生前に防御を可能とするサービスを提供しています。

また、マルウェア感染に備えて機器のセキュリティ監視・運用する「JSOCのマネージド・セキュリティ・サービス(MSS)」を行っています。不正侵入を検知する能力を大幅に向上させます。 万が一RedLine Stealerが検知されたなど、緊急事態が発生したらサイバー救急センターへご相談ください。

JSOC® マネージド・セキュリティ・サービス(MSS)

https://www.lac.co.jp/operation/mss.html

JSOCのマネージド・セキュリティ・サービス(MSS)はお客様の不正侵入検知能力を大幅に向上させるセキュリティ監視・運用サービスです。巧妙なサイバー攻撃が増加するIT環境において、不正アクセス監視によるセキュリティ対策の水準を上げます。また、複雑なセキュリティ監視機器を運用し、不正アクセスを防ぎます。

サイバー救急センター

https://www.lac.co.jp/corporate/unit/cyber119.html

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

投稿者

小泉 亮平
小泉 亮平
デジタルビジネス推進部、兼JSOCの小泉です。
JSOCアナリストとして分析業務に従事、ログ分析の他、分析システムの運用(ルールやログ取り込み支援)などに携わってきました。
皆さまに興味を持っていただけるような記事を執筆したいと思いますので、どうぞよろしくお願いいたします。