悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す

Malicious Excel XLL add-ins push RedLine password-stealing malware

2021/12/05 BleepingComputer — Web サイトの問合せフォームやフォーラムにスパムを送り、パスワードなどの情報を盗むマルウェア RedLine をダウンロード/インストールさせる Excel XLL ファイルが、サイバー犯罪者たちにより配布されている。RedLine は情報窃取型のトロイの木馬であり、Web ブラウザに保存されているクッキー/ユーザー名/パスワード/クレジットカードなどの情報のほか、感染したデバイスから FTP 認証情報やファイルを盗み出す。

RedLine はデータを盗むだけではなく、コマンドの実行や、別のマルウェアのダウンロード、Windows のスクリーン・ショット作成なども引き起こす。これらのデータは全て収集され、攻撃者に送信された後に、犯罪者向けマーケットプレイスでの販売を含む、詐欺行為などに使用される。

問合せフォームやディスカッション・フォーラムへのスパム行為

過去2週間にわたり、BleepingComputer のコンタクトフォームに、偽の広告依頼/ホリデー・ギフトガイド/Web サイト宣伝などの、さまざまなフィッシング・ルアーが何度も送られてきた。ルアーを調査した結果、それがパブリック・フォーラムや記事コメントシステムを用いる広範な Web サイトを対象とした、大規模なキャンペーンであることが判明した。

BleepingComputer が確認したフィッシング・ルアーの中には、マルウェアをインストールするための、悪意の Excel XLL ファイルをホストする、偽の Web サイトを作成しているものもあった。たとえば、あるキャンペーンでは、スパム・メッセージと組み合わせた、正規の Plutio サイトを模した、偽の Web サイトが使用されていた。そのスパム・メッセージには、「ビジネスを運営するために必要なすべてが揃っている。 プロジェクトを管理し、素晴らしい提案書を作成し、素早い支払いを受けることができる。ブラック・フライデー! すべてのプランは無料で、クレジットカードは必要ない」と記されていた。

その他のスパム・メッセージは、支払い報告/広告の依頼?ギフトガイドなどを装い、Google Drive にホストされている悪意の XLL ファイルへのリンクを貼っていた。特に興味深いのは、Web サイトの所有者をターゲットにした誘い文句で、そのサイトに広告を掲載するよう依頼し、条件を確認するよう求めるものだ。これは、マルウェアをインストールする、悪意の terms.xll ファイルにつながっていた。あなたのサイトの広告スペースを$ 500から販売したいので、以下のリンクから規約を確認してほしい。
https://drive.google%5B.%5Dcom/file/d/xxx/view?usp=sharing

Excel XLL ファイルの悪用

これらのスパム・キャンペーンは、悪意の Excel XLL ファイルをプッシュするよう設計されており、被害者の Windows デバイスに RedLine マルウェアをダウンロードし、インストールする。XLL ファイルは、データの読み書きや、他のソースからのデータ・インポート、タスクを実行するためのカスタム関数の作成などを実現するために、開発者が Excel の機能を拡張するためのアドインである。XLLファイルは、アドインが開かれたときに Microsoft Excel により実行される、xlAutoOpen 関数を含む単なる DLL ファイルだ。

今回の攻撃について相談したセキュリティ研究者である TheAnalyst が行ったテストでは、XLL ファイルが正しく読み込まれなかったが、他のバージョンの Microsoft Excel では動作する可能性がある。しかし、regsvr32.exe コマンドまたは、rundll32 name.xll, xlAutoOpen コマンドで DLL を手動で実行すると、wget.exe プログラムが %UserProfile% フォルダに抽出され、それを使って RedLine バイナリをリモートサイトからダウンロードした。この悪意のあるバイナリは、%UserProfile%\JavaBridge32.exe [VirusTotal]として保存され、実行されます。

また、レジストリの自動実行エントリが作成され、被害者が Windows にログインするたびに、RedLine の情報窃取装置が自動的に起動される。このマルウェアが実行されると、Chrome/Edge/Firefox/Brave/Opera のブラウザに保存されている認証情報やクレジットカードなどの、盗むべき貴重なデータが探し出される。

このキャンペーンの被害に遭った場合には、保存されているパスワードが危険にさらされていることを想定し、直ちにパスワードを変更すべきである。また、ブラウザにクレジットカード情報が保存されている場合は、クレジットカード会社に連絡し、今回の事件を知らせる必要がある。

XLL ファイルは実行ファイルであるため、それを利用する脅威アクターは、デバイス上で悪意の行為を実施できる。したがって、信頼できるソースから送られてきたものでない限り、絶対にファイルは開かないようにすべきだ。通常、これらのファイルは、添付ファイルとして送られるものではなく、別のプログラムや Windows の管理者経由でインストールされる。したがって、この種のファイルを配布する電子メールなどのメッセージを受け取った場合には、そのメッセージを削除し、スパムとして報告すべきである。

XLL ファイルとは「Excelのサードパーティのツールと機能を使用するためのもので、Excel 専用にビルドされた DLL のようなもの」とのことです。9月には「Office 365 ポリシー変更:すべての Active Content に対して Admin 管理を優先」を、11月には「Microsoft Office 365:全ユーザーのディフォルト保護レベルを Admin 設定で強化する」をポストしているように、セキュリティの強化が進んでいるようですが、それとも関連するのでしょうかね?

%d bloggers like this: