JPCERT/CC、新しいマルウェア「LODEINFO」を警告

公式ブログ“JPCERT/CC Eyes”

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月20日、公式ブログ“JPCERT/CC Eyes”で、新しいマルウェア「LODEINFO」の詳細を明らかにした。JPCERT/CCは昨年12月頃に日本国内の組織を狙った標的型攻撃メールを確認しているが、これまで確認されていなかった新種のマルウェアがWord文書に添付されているケースがあったという。

　「LODEINFO」はWord文書のマクロを有効化することでホスト上に作成され、DLLに実装されている関数を呼び出す「rundll32.exe」から実行される。「LODEINFO」が実行されると、Windows サービスをホストする「svchost.exe」プロセスを起動し、ペイロード（マルウェアが運搬するデータ本体）をインジェクション（注入）して動作する。動作したあとは、マルウェアに指令を送るWebサイト（C＆Cサーバー）と通信しながら、さまざまなコマンドを実行するようだ。

「LODEINFO」が動作するまでの流れ

　JPCERT/CCによると、以下のコマンドが確認されているという。

• PEファイルの実行
• シェルコードの実行
• ファイルのアップロード・ダウンロード
• プロセスの停止
• ファイル一覧の送信
• マルウエアバージョン情報の送信

　「LODEINFO」を分析した結果、“GitHub”で公開されている「LodePNG」というPNGエンコーダー・デコーダーのソースコードと一致する部分が多数あったとのことだが、詳細は不明。バージョン情報として“v0.1.2”といった文字列が確認でき、現在も開発途中の可能性があるため、今後とも注意が必要だ。