解析者: Neljorn Nathaniel Aguas   
 別名:

PDF:PhishingX-gen [Phish] (AVAST)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 97,231 bytes
タイプ PDF
メモリ常駐 なし
発見日 2024年2月9日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

マルウェアは、以下を実行します。

  • The PDF contains an image that lures the user to click and redirect to the following malicious website in a browser:
    • https://{BLOCKED}osparaempresas.com.br/0xox.php
      • which redirects to:
        • https://{BLOCKED}ihtrodtme4kctq6xiehyxcgzvabkpcsj6n6bueoqrigds4qyuacve.ipfs.cf-ipfs.com/# → loads the phishing site
  • It connects to the following possibly malicious website if the user entered and submitted an email address:
    • https://{11 Random Alphanumeric Characters}.{BLOCKED}edxout.online
  • It disables the following keyboard shortcuts to prevent the user to analyze the source code:
    • Ctrl+Shift+C → Inspect Element tool
    • Ctrl+Shift+I → Developer Tools
    • Ctrl+Shift+J → Developer Tools
    • Ctrl+U → View Page Source
  • If the user opened the Developer Tools or Inspect element tool via other means, it redirects the browser to the following website:
    • https://www.microsoft.com

<補足>
マルウェアは、以下を実行します。

  • PDF(マルウェア)には、クリックするよう誘導する画像が含まれており、ユーザがクリックすると以下の不正サイトへと転送されます。
    • https://{BLOCKED}osparaempresas.com.br/0xox.php
      • 上記のサイトは、以下に転送します。
        • https://{BLOCKED}ihtrodtme4kctq6xiehyxcgzvabkpcsj6n6bueoqrigds4qyuacve.ipfs.cf-ipfs.com/# → 特定のフィッシングサイトを読み込む
  • ユーザが電子メールアドレスを入力して送信すると、マルウェアは、以下の不正サイトに接続します。
    • https://{ランダムな英数字11文字}.{BLOCKED}edxout.online
  • 以下のキーボードショートカットを無効化して、ユーザがソースコードを解析できないようにします。
    • Ctrl+Shift+C → 要素(Element)検証ツール
    • Ctrl+Shift+I → 開発者ツール
    • Ctrl+Shift+J → 開発者ツール
    • Ctrl+U → ページのソースの表示
  • ユーザが別の方法で開発者ツールまたは要素検証ツールを開いた場合、以下のWebサイトに転送されます。
    • https://www.microsoft.com

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.188.04
初回 VSAPI パターンリリース日 2024年2月29日
VSAPI OPR パターンバージョン 19.189.00
VSAPI OPR パターンリリース日 2024年3月1日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.PDF.PHISH.CV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください