Mispadu Stealer の亜種:Microsoft SmartScreen の CVE-2023-36025 を悪用

New variant of Mispadu Stealer is Exploiting CVE-2023-36025 Vulnerability

2024/02/04 SecurityOnline — 悪名高い Mispadu Stealer インフォ・スティーラーは、2019年以降のラテンアメリカ (LATAM) において、主にスペイン語/ポルトガル語圏の被害者を標的としている。最近になって Unit 42 の研究者たちが、Mispadu Stealer の現状/進化に関連する重要な情報を取得し、このマルウェアが悪用する SmartScreen の脆弱性に注目している。

Mispadu Stealer は、2019年11月に ESET により最初に報告されて以来、サイバー・セキュリティの専門家たちの注目を集めてきた。この、Delphi で書かれたバンキング型トロイの木馬は、主にブラジル/メキシコのユーザーを標的にしていた。そして、何年にもわたって進化を続け、新たなセキュリティ対策に適応し続けており、依然として手強い脅威となっている。

Unit 42 の研究者たちが Mispadu Stealer の最新の亜種を発見したのは、SmartScreen 脆弱性 CVE-2023-36025 の調査中のことだった。Windows の SmartScreen 機能は、潜在的に有害な Web サイトやファイルからユーザーを保護するために、警告を発するように設計されているが、この機能に、セキュリティ・バイパスの脆弱性 CVE-2023-36025 が発生したのだ。そして、この脆弱性を悪用する攻撃者たちは、一連の警告をバイパスする方法を発見した。

このバイパス・テクニックに含まれるのは、ネットワーク共有を参照する、特別に設計されたインターネット・ショートカット・ファイル (.url) や、細工されたハイパーリンクであり、それらで URL 代替えさせている。このように、SmartScreen 警告システムを巧みに操作することで、Windows を騙して警告メッセージを表示させないようにする。そして、被害者が .url ファイルをクリックすると、攻撃者のネットワーク共有に誘導され、そこで悪意のペイロードが取得/実行される。

2023年11月の時点で、SmartScreen 回避の試みを調査していた Unit 42 の研究者たちは、ネットワーク共有から実行されるバイナリを特定することで、ある .url ファイルを発見した。この .url ファイルは、悪意のバイナリを取得し、コマンドを実行するものであり、発見された当初は、Microsoft Edge ブラウザによりダウンロードされた .zip アーカイブ内に含まれていた。この配布の方法としては、電子メールへの添付ファイルや、悪意の Web サイトからのダウンロードなどがある。

さらに分析を進めた研究者たちは、この新しい Mispadu Stealer の亜種と以前のバージョンの間に、いくつかの類似点を発見した。このキャンペーンの C2 (Command and Control) インフラや情報窃取機能は、2023年5月以降の Mispadu Stealer サンプルで使用されているものと酷似していたのだ。

サンプル間の顕著な類似点としては、保存された認証情報を読み取るための SQLite の使用や、特定銀行の Web サイトの標的化などが挙げられる。しかし、新しいサンプルはテクニックを進化させているようであり、WebBrowser PassView/ Mail PassView などの既知のツールの悪用から、SQLite を使った認証情報の抽出へと移行することで、検出を回避しているようだ。

もう1つの類似点は、実行に WebDAV クライアントを悪用している点だ。UNC パス内に HTTP ポートを指定することで、Windows は SMB ではなく HTTP 経由の WebDAV を使用することになる。しかし、この手法は、Mispadu Stealer だけのものではなく、他のマルウェアでも同様に採用されている。

2023年8月に行われたキャンペーンにおいても、最初の配信に .url ファイルが使用されたという類似点がある。しかし、以前のキャンペーンでは、情報窃取機能に PowerShell コードを使用しており、新しい亜種にはない追加機能を備えていた。

Mispadu Stealer は、ラテンアメリカ諸国のユーザーや、スペイン語/ポルトガル語ユーザーをターゲットにしており、その中でもメキシコが最も顕著であったが、最新のキャンペーンは広がりを見せているという。このマルウェアが、ヨーロッパ地域で急速に広がっていることで、近い将来において、大規模な攻撃が仕掛けられる可能性が示唆される。

感染した国の統計 | Image: Unit 42

Mispadu Stealer の進化は、サイバー・セキュリティの世界における脅威の状況が、常に変化していることを端的に示している。このマルウェア株は大きな変貌を遂げたが、研究者たちは依然として、過去のキャンペーンとの関連性を示す、微妙な類似点を見つけ出している。

Mispadu Stealer のような、常に変化し続ける脅威から身を守るために推奨されるのは、最新の脅威インテリジェンス情報を常に入手し、強固なエンドポイント保護を導入することである。サイバー・セキュリティを意識する文化を、ユーザー間で醸成することは、極めて重要な要素だといえる。

Unit 42 のレポートがベースとなる記事であり、SmartScreen の脆弱性 CVE-2023-36025 を悪用する、Mispadu Stealer インフォ・スティーラーを追跡した結果が詳述されています。なお、この Unit 42 のレポートは、日本語訳で提供されています。また、脆弱性 CVE-2023-36025 については、2024/01/14 の「Phemedrone スティーラー:Windows の脆弱性 CVE-2023-36025 を悪用している」でも解説されています。よろしければ、ご参照ください。