TrojanSpy.Win32.TRICKBOT.TIABOFFC

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。 スパイウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

スパイウェアは、ソフトウェアに存在する脆弱性を利用して、同じネットワーク上にある他のコンピュータへの感染活動をします。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• EMOTET

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\cmdcache
• %Application Data%\cmdcache\data
• %Application Data%\cmdcache\data\injectDll{XX}_configs
• %Application Data%\cmdcache\data\networkDll{XX}_configs
• %Application Data%\cmdcache\data\pwgrab{XX}_configs
• %Application Data%\cmdcache\data\tabDlll{XX}_configs
• %Application Data%\cmcache\data\injectDll{XX}_configs

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\cmdcache\{malware file name}.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のファイルを作成します。

• %Application Data%\cmdcache\settings.ini -> Contains encrypted victim key
• Encrypted configuration files for networkDll:
  • %Application Data%\cmdcache\networkDll{XX}_configs\dpost
• Encrypted configuration files for injectDll:
  • %Application Data%\cmdcache\injectDll{XX}_configs\dinj
  • %Application Data%\cmdcache\injectDll{XX}_configs\dpost
  • %Application Data%\cmdcache\injectDll{XX}_configs\sinj
• Encrypted configuration files for networkDll:
  • %Application Data%\cmdcache\networkDll{XX}_configs\dpost
• Encrypted configuration files for pwgrab:
  • %Application Data%\cmdcache\pwgrab{XX}_configs\dpost
• Encrypted configuration files for tablDll:
  • %Application Data%\cmdcache\tabDll{XX}_configs\dpost
• Downloaded encrypted modules used to perform different malicious behaviors:
  • %Application Data%\cmdcache\importDll{XX}
  • %Application Data%\cmdcache\injectDll{XX}
  • %Application Data%\cmdcache\mshareDll{XX}
  • %Application Data%\cmdcache\mwormDll{XX}
  • %Application Data%\cmdcache\networkDll{XX}
  • %Application Data%\cmdcache\pwgrab{XX}
  • %Application Data%\cmdcache\tabDll{XX}
  where {XX} can be 32 or 64 depending on the OS architecture.

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。

スパイウェアは、以下のプロセスを追加します。

• cmd /c ipconfig /all
• cmd /c net config workstation
• cmd /c net view /all
• cmd /c net view /all /domain
• cmd /c nltest /domain_trusts
• cmd /c nltest /domain_trusts /all_trusts

スパイウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{17-character Victim ID}

スパイウェアは、以下のプロセスにコードを組み込みます。

• svchost.exe

自動実行方法

スパイウェアは、以下のサービスを追加し、実行します。

• Service Name: SystemTypeSvc
  • Display Name: TechnicalSvc
  • ImagePath: %System Root%\stsvc.exe
• Service Name: SystemTypeSvc
  • Display Name: TechnicalSvc
  • ImagePath: %Windows%\stsvc.exe

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

感染活動

スパイウェアは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

• MS17-010

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません

ダウンロード活動

スパイウェアは、以下のWebサイトから自身のコピーの更新版をダウンロードします。

• http://{BLOCKED}.{BLOCKED}.208.25/images/mini.png
• http://{BLOCKED}.{BLOCKED}.208.25/images/lastimg.png

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下の情報を収集します。

• System Information:
  • OS Information
  • CPU
  • Memory
  • User Accounts
  • Installed Programs
  • Installed Services
• Network Information
  • IP Configuration
  • Domain Information (Users, Settings, Configuration)
• Credentials in the following Applications:
  • Microsoft Outlook
  • Filezilla
  • WinSCP
  • Putty
  • TeamViewer
  • KeePass
  • OpenSSH
  • OpenVPN
  • Git
• Internet Credentials (Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox):
  • Usernames and Passwords
  • Internet Cookies
  • Browsing History
  • Autofills
  • HTTP Posts responses
• Private Key Files (.ppk)
• Digital Certificate File (.p12 and .pfx)
• Cryptocurrency wallet files (.dat)

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}.{BLOCKED}.117.187:8082
• http://{BLOCKED}.{BLOCKED}.243.70:8082
• http://{BLOCKED}.{BLOCKED}.180.226:8082
• http://{BLOCKED}.{BLOCKED}.105.206:8082
• http://{BLOCKED}.{BLOCKED}.16.210:8082
• http://{BLOCKED}.{BLOCKED}.232.124:80
• http://{BLOCKED}.{BLOCKED}.168.198:80
• http://{BLOCKED}.{BLOCKED}.102.50:80
• http://{BLOCKED}.{BLOCKED}.238.3:80
• http://{BLOCKED}.{BLOCKED}.2.83:80
• http://{BLOCKED}.{BLOCKED}.161.198:443
• http://{BLOCKED}.{BLOCKED}.3.23:443
• http://{BLOCKED}.{BLOCKED}.171.62:443
• http://{BLOCKED}.{BLOCKED}.97.44:443
• http://{BLOCKED}.{BLOCKED}.19.158:443
• http://{BLOCKED}.{BLOCKED}.40.89:443
• http://{BLOCKED}.{BLOCKED}.29.117:443
• http://{BLOCKED}.{BLOCKED}.208.27:443
• http://{BLOCKED}.{BLOCKED}.117.45:443
• https://{BLOCKED}.{BLOCKED}.104.38:446/response/rcrd.php?
• https://{BLOCKED}.{BLOCKED}.104.38:446/response.php?
• https://{BLOCKED}.{BLOCKED}.104.38:446/response/getq.php?
• http://{BLOCKED}.{BLOCKED}.161.196:443/getinj/aggregator
• http://{BLOCKED}.{BLOCKED}.161.196:443/getinj/accounts
• http://{BLOCKED}.{BLOCKED}.161.196:2020/q1MPVi7phg/swap
• http://{BLOCKED}.{BLOCKED}.161.196:2020/q1MPVi7phg/getinj
• http://{BLOCKED}.{BLOCKED}.161.196:2020/q1MPVi7phg/final
• http://{BLOCKED}.{BLOCKED}.22.0:80/

以下のスケジュールされたタスクを追加します：

• Task Name:Command cache application
  • Task Action: %Application Data%\cmdcache\{malware file name}.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下を実行します。

• スパイウェアは、ローカルネットワーク内で接続されているWindowsの管理共有内に自身のコピーを作成します。
  • %System Root%\stsvc.exe
  • %Windows%\stsvc.exe

(註： %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

スパイウェアは、以下のスケジュールされたタスクを追加します。

• Task Name:Command cache application
  • Task Action: %Application Data%\cmdcache\{malware file name}.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

＜補足＞
インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\cmdcache\{マルウェアのファイル名}.exe

スパイウェアは、以下のファイルを作成します。

• %Application Data%\cmdcache\settings.ini → 暗号化された被害者キーを含む
• 「networkDll」の暗号化された環境設定ファイル:
  • %Application Data%\cmdcache\networkDll{XX}_configs\dpost
• 「injectDll」の暗号化された環境設定ファイル:
  • %Application Data%\cmdcache\injectDll{XX}_configs\dinj
  • %Application Data%\cmdcache\injectDll{XX}_configs\dpost
  • %Application Data%\cmdcache\injectDll{XX}_configs\sinj
• 「networkDll」の暗号化された環境設定ファイル:
  • %Application Data%\cmdcache\networkDll{XX}_configs\dpost
• 「pwgrab」の暗号化された環境設定ファイル:
  • %Application Data%\cmdcache\pwgrab{XX}_configs\dpost
• 「tablDll」の暗号化された環境設定ファイル:
  • %Application Data%\cmdcache\tabDll{XX}_configs\dpost
• 異なる不正活動を実行するためにダウンロードされた暗号化されたモジュール:
  • %Application Data%\cmdcache\importDll{XX}
  • %Application Data%\cmdcache\injectDll{XX}
  • %Application Data%\cmdcache\mshareDll{XX}
  • %Application Data%\cmdcache\mwormDll{XX}
  • %Application Data%\cmdcache\networkDll{XX}
  • %Application Data%\cmdcache\pwgrab{XX}
  • %Application Data%\cmdcache\tabDll{XX}
• 上記の｛XX｝には、OSアーキテクチャに応じて32 または 64 が当てはまります。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{17文字の被害者 ID}

感染活動

スパイウェアは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

• MS17-010

情報漏えい

スパイウェアは、以下の情報を収集します。

• システム情報:
  • オペレーティングシステム（OS） 情報
  • CPU
  • メモリ
  • ユーザアカウント
  • インストールされたプログラム
  • インストールされたサービス
• ネットワーク情報
  • IP環境設定
  • ドメイン情報(ユーザ, 設定, 環境設定)
• 以下のアプリケーション内の認証情報:
  • Microsoft Outlook
  • Filezilla
  • WinSCP
  • Putty
  • TeamViewer
  • KeePass
  • OpenSSH
  • OpenVPN
  • Git
• インターネット認証情報 (Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox):
  • ユーザ名およびパスワード
  • Internet Cookies
  • 閲覧履歴
  • オートフィル
  • HTTP POST の応答
• 秘密鍵ファイル(.ppk)
• デジタル証明書ファイル(.p12 および .pfx)
• 仮想通貨ウォレット・ファイル(.dat)