仮想通貨ウォレットプログラム(アリババ)と共にインストールされるマルウェア

最近 ASECは、アリババコイン(ABBC Coin)ウォレットプログラムと同時にインストールされる情報流出型マルウェアを発見した。ABBC Coin プログラムを実行すると、AppData\Roaming フォルダに以下のようなウォレットプログラムと同時に sys.exe というダウンローダー機能を持つマルウェアをドロップ、および実行する。

[図1] ABBC Coin ウォレットプログラム

ダウンローダーマルウェアは、まず Anti-Sandbox の手法を使用するが、分析環境において当該ファイルを単独で実行した場合は、不正な行為を実行しないように、AppData\Roaming フォルダで「123456789」が書かれた abbc.log ファイルを読んで内容を確認する。すなわち、sys.exe ファイルを単独で実行した時にはすぐに終了し、ドロッパーを通して実行させる場合にのみ不正な行為が実行される。

[図2] 使用された Anti-Sandbox の手法

以後、特定の国内企業の Web サイトでエンコードされた PE をダウンロードする。ダウンロード時、およびファイルとして存在する場合はエンコードされたファイルだが、実際には DLL で作成されたマルウェアである。ダウンローダーはこのファイルを読み込み、デコードの過程を経てメモリ上で実行させることにより、PE 形式ではファイルとして保存されず、セキュリティソフトによる検出を回避する。

最初にダウンロードされる store32.sys は(ファイル上では sys.log として存在したあと削除される)システム、プロセスおよびプログラムリスト、メール、ブラウザ履歴情報等を抽出して保存する機能を実行する。このファイルは、同じパスに「ttmp.log」という名前で保存された後、流出する。

以降、同じサイトで同じ方式により sys32.msi ファイルをダウンロードする。(ファイル上ではsvchost.log)このファイルは、実質的に情報流出およびバックドア機能を実行するマルウェアである。

[図3] マルウェアのダウンロード URL

最後に PC を再起動する時にも持続的に作動するため Run キーを登録するが、登録するキーの名前が以下のように「Ahnlab」であることが特徴である。

[図4] 「AhnLab」文字列を使用した Run キーの登録

sys32.msi は様々な機能を持っているが、ユーザーのキー入力を保存して流出させるキーロガーおよび Web ブラウザでの ID、パスワードだけでなく、クリップボードに保存されたデータまでも流出対象としている。

[図5] クリップボードをファイルとして保存するルーティン

このほかにも、以下のように各種文書、および圧縮、写真ファイルのリストなど、仮想通貨関連ファイルのリストを流出対象とすることが確認できた。

[図6] 流出対象の「拡張子リスト」および流出対象ファイルの「キーワードリスト」
 対象拡張子 hwp, pdf, doc, docx, xls, xlsx, zip, rar, egg, txt, jpg, png
 対象キーワード “wallet.dat”, “UTC–“, “mnemonic”, “cryptocu”, “コイン”,
“財布”, “ウォレット”, “個人”, “イーサ”, “ビット”, “パスワード”,
“NPKI”, “Mnemonic”, “バックアップ”, “シークレット”, “private”,
“復旧”, “仮想化”, “暗号化”, “認証”, “パス”, “OT”, “取引所”

使用される C2 アドレスは以下の通りである。

[図7] 接続を試みる C2 ドメインアドレス

C2_1 : http://test.everydayspecial[.]com/test1/

C2_2 : http://test.everydayspecial[.]com/test2/

C2_3 : http://honew.elimbiz[.]com/include/test2/

3番目の C2 サーバーの場合、接続を試みるが分析時点を基準として、すでに通信が不可能な状態である。

[図8] C2 サーバーとの通信および試行ログ
[図9] 1番目の C2 アドレスへ情報を送信するパケット

AhnLab では、ダウンロードおよび C2 の URL 以外にも、上記マルウェアに関して次の通りに診断中である。

– Dropper/Win32.Agent (2019.03.15.00)

– Trojan/Win32.Downloader (2019.03.15.00)

– BinImage/EncPE (2019.03.15.01)

– Backdoor/Win32.Infostealer (2019.03.15.06)

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments