我々は先頃、改ざんされたコロンビアのトランスポートWebサイトに遭遇した。マルウェアの作者は、そのページを訪問すると、署名付きアプレットを表示することで、ソーシャルエンジニアリングを使用する。
以下はWindowsを使用してアクセスした場合の表示だ:
![ff_sig (46k image)](http://www.f-secure.com/weblog/archives/ff_sig2.PNG)
そしてMacOSの場合:
![mac_sig (52k image)](http://www.f-secure.com/weblog/archives/mac_sig.PNG)
JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。
![jar_code (123k image)](http://www.f-secure.com/weblog/archives/jar_code.PNG)
これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。
これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)
MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:
![intel (30k image)](http://www.f-secure.com/weblog/archives/intel.PNG)
C&CおよびハッキングされたWebサイトについては報告済みだ。
ペイロード分析をしてくれたBrodに感謝する。
追記:
IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!
このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。
以下はWindowsを使用してアクセスした場合の表示だ:
そしてMacOSの場合:
JARファイルは、ユーザのマシンがWindows、Mac、Linuxのどれを実行しているかをチェックし、プラットフォームに適したファイルをダウンロードする。
これら3種のプラットフォーム用の3種のファイルはすべて、同じように機能する。それらは皆、追加コードを実行させるため、186.87.69.249に接続する。OSX、LinuxおよびWindowsのポートは、それぞれ順に8080、8081、8082だ。
これらのファイルは以下のように検出されている:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)
MacOSXのサンプルはPowerPCバイナリで、Intelベースのプラットフォームでのファイルの実行には、Rosettaが必要だ:
C&CおよびハッキングされたWebサイトについては報告済みだ。
ペイロード分析をしてくれたBrodに感謝する。
追記:
IPアドレスのタイプミスを(186.69.87.249から186.87.69.249に)変更した。指摘してくれたCostinに感謝する!
このJARファイルは、Social-Engineer Toolkitを使用して生成されるようだ。