TrojanSpy.Win32.FAKEPOC.THAOGBE

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

• %User Temp%\{Random Hex}.tmp\{Random Hex}.tmp\{Random Hex}.ps1 → script containing the payload and deleted after executing.

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のプロセスを追加します。

• powershell.exe –NoProfile -ExecutionPolicy Bypass -File %User Temp%\{Random Hex}.tmp\{Random Hex}.tmp\{Random Hex}.ps1

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のフォルダを作成します。

• %User Temp%\{Random Hex}.tmp
• %User Temp%\{Random Hex}.tmp\{Random Hex}.tmp
• %User Temp%\{Random Filename}

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• https://{BLOCKED}in.com/raw/9TxS7Ldc → site containing a PowerShell code used to execute another payload.

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %Windows%\{Random Filename}.ps1

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Information
• List of Current Running Processes
• Files from Downloads Folder
• Files from Documents Folder
• Files from Desktop Folder
• List of Network IPs
• List of Network Adapters
• List of Installed Software/Packages

スパイウェアは、環境設定ファイルに記述されている認証情報を用い、収集した情報を以下のWebサイトへ送信します。

• ftp://ftp.drivehq.com/wwwhome/{ZIP Filename} → it uses hardcoded login credentials to authenticate to the FTP server.

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

• %User Temp%\{Random Filename}\Info.txt → stores computer info
• %User Temp%\{Random Filename}\Download.txt → stores file list of Downloads folder
• %User Temp%\{Random Filename}\Documents.txt → stores file list of Documents folder
• %User Temp%\{Random Filename}\Desktop.txt → stores file list of Desktop folder
• %User Temp%\{Random Filename}\IP.txt → stores list of network IPs
• %User Temp%\{Random Filename}\NetAda.txt → stores list of network adapters
• %User Temp%\{Random Filename}\Prg.txt → stores list of installed software/packages
• %User Temp%\{Random Filename}\Proc.txt → stores process list
• %User Temp%\{Random Filename}.zip → ZIP archive containing the above files

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

その他

以下のスケジュールされたタスクを追加します：

• Location: \Microsoft\Windows\PowerShell\ScheduledJobs
  Name: Update
  Trigger: One time at 10:00 AM on {Scheduled Task Creation Date} → after triggered, repeat every 30 minutes indefinitely
  Action: Start a program → powershell.exe -NoLogo -NonInteractive -WindowStyle Hidden -Command "Import-Module PSScheduledJob; $jobDef = [Microsoft.PowerShell.ScheduledJob.ScheduledJobDefinition]::LoadFromStore('Update', '%AppDataLocal%\Microsoft\Windows\PowerShell\ScheduledJobs'); $jobDef.Run()"
  Properties: Hidden

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)