[注意]KMSAuto認証ツールに偽装して拡散しているVidarインフォスティーラー

AhnLab ASEC 分析チームは最近、Vidar インフォスティーラー(情報搾取型マルウェア)がKMSAuto、KMSPico 認証ツールに偽装したマルウェアによって拡散していることを確認した。ユーザーは Windows のライセンス認証を目的として認証ツールを使用するが、実際にはインフォスティーラー(情報搾取型マルウェア)によりWebブラウザ、FTP クライアント、ウォレットのアドレスを含む多数のユーザー情報が攻撃者に流出することがあり、ダウンローダー機能を持つ Vidar の特性上、追加のマルウェアがダウンロードされ、インストールされることがある。

KMSAuto、KMSPico は Windows のライセンス認証のための違法認証ツールとして、多数の一般ユーザーがインターネットからダウンロード、および使用しているプログラムである。このようにユーザー数が多いほどマルウェアもこれを悪用するが、今回確認されたマルウェアは、このツールに偽装した Vidar インフォスティーラー(InfoStealer)である。

ファイルを見ると、それぞれ kmsauto-setup.exe、kmspico.exe として拡散しており、元の認証プログラムと同じアイコンを使用している。また、どちらも WinRAR SFX 圧縮実行ファイルで作成されており、実行すると以下のようにパスワードを要求してくる。

[図1] インストール時にパスワードを要求するマルウェア

パスワードが kmsauto-setup.exe の場合は「kmsauto」、kmspico.exe の場合は「kmspico」である。これらのパスワードを入力すると、以下のように build.exe、script.vbs、そして kmsauto または kmspico ファイルを AppData\Roaming フォルダに生成したあと、それぞれ実行する。

[図2] パスワード入力時、内部に含まれた不正なファイル

生成されたファイルのうち script.vbs は IP Logger サービス(yip.su)に接続および自己削除する機能を持つ。これは、IP Logger サービスを利用して感染 PC に関する統計(感染時間、IP アドレス)情報を取得するための目的であると推定される。

[図3] IP Logger 機能を持つ VBS スクリプト

生成されたファイルのうち build.exe という名前を持つものが Vidar マルウェアである。見た目に関しては、過去のASECブログで取り上げた MalPe マルウェアと同じである。

Vidar マルウェアは C&C サーバーに正しく接続されると、追加 DLL をダウンロードする。この DLLは、インフォスティーラー機能のために必要な正常な DLL である。

[図4] 情報流出機能のためにダウンロードする正常な DLL

ダウンロードされたファイルは C:\ProgramData パスに保存され、ここには抽出したユーザー情報も同時に保存される。インフォスティーラーの対象には FTP クライアント、Web ブラウザの Autofill、Cookie、履歴等のほかにも、コインウォレットのアドレス等が含まれる。

[図5] 抽出したユーザー情報

Information.txt ファイルを確認すると、Vidar のバージョン情報と日付、ユーザーシステム環境、ハードウェア、ネットワーク、実行中のプロセス、インストールされているプログラムリスト等が確認できる。

[図6] 基本ユーザー情報

Vidar にはインフォスティーラー機能以外にも、ダウンロード機能が存在する。すなわち、インフォスティーラー行為を行ったあと、自己削除を実行する前に、ダウンロードした追加マルウェアを実行する。

[図7] ダウンロードした追加マルウェアを実行させるルーティン

現在 V3 では、これらのマルウェアを次のような診断名で診断している。

[ファイルの診断]

  • Dropper/Win32.Agent.C4112761
  • Trojan/Win32.MalPe.R339224
  • Trojan/VBS.Agent

[行為の診断]

  • Malware/MDP.SystemManipulation.M2040
0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments