情報奪取型マルウェアを拡散させるフィッシングキャンペーン

AhnLab ASEC 分析チームは、正常なユーティリティのクラックプログラムを装ってインフォスティーラー型マルウェアを拡散させるフィッシングサイトを発見した。フィッシングサイトは、Google の検索キーワードでユーティリティプログラム名と「Crack」を一緒に検索した場合に上部に表示される。そのため、多数のユーザーがユーティリティプログラムのクラックバージョンをダウンロードするために当該ページにアクセスし、感染したものと推定される。

[図1] クラックプログラムを検索すると上部に表示されるフィッシングサイト

このフィッシングサイトの内容は [図2] のように、実際のユーティリティプログラムの画像を使用して精巧に作られている。サイトにアクセスしたユーザーがページ下部の [図3] のダウンロードリンクをクリックするとマルウェア配布元にリダイレクトし、最終的にマルウェアを含む圧縮ファイルをダウンロードすることになる。

[図2] フィッシングページ

[図3] ページ下部に位置する情報流出型マルウェアのダウンロードリンク

マルウェアは、ユーティリティ名_特定ハッシュ値.zip の形式でダウンロードされる。圧縮ファイルには情報流出型マルウェアが含まれる SetupFile-86x-64xen.zip 圧縮ファイルと、圧縮パスワードが含まれた txt ファイル、マルウェアの実行を誘導する ReadMe.txt ファイルが格納されている。

[図4] wondershare_ceccea53be6aa48d6199e175b0035715.zip 圧縮ファイルの内部

ReadMe ドキュメントを開くと、[図5] のように現在使用中の Anti-Virus、ファイアウォール等を終了するように促すフレーズが目立つ。これは、通常の Keygen やクラックバージョンのプログラムがマルウェアによる有害なプログラムとして診断されるためであると思われる。しかし、実際の当該ファイルは Keygen、クラックプログラムではなく、マルウェアの機能のみが存在するため、これはマルウェアの検出を回避する目的で記載したフレーズだと思われる。

[図5] First-ReadMe–.txt ファイルの内部

SetupFile-86x-64xen.zip ファイルの圧縮を解凍するために「77788899」というパスワードを入力すると、マルウェア(SetupFile-86x-64xen.exe)が生成される。

[図6] マルウェア

マルウェアを実行すると「%temp%\IXP000.TMP」フォルダに正常な AutoIt スクリプトの実行プログラム([図7]のlsass.com)と、エンコードされた不正な PE ファイルをドロップする。以降、「c:\windows\system32\attrib.exe」を実行させたあと、エンコードした PE をデコードしてインジェクションする。

[図7] 当社動的解析システム「RAPIT」のプロセスツリー情報

デコードされた PE は Anti-SandBox 機能が存在する情報流出型マルウェアである。マルウェアは以下の情報を確認して一つでも満たしている場合は、自分自身のプロセスを終了する。

[図8] Anti-Sandbox 機能
  • GetSystemMetrics API を活用したスクリーン画面の確認機能(スクリーンの横軸が1027よりも小さい場合)
  • GetSystemInfo API を活用した CPU コア数の確認機能(CPU のコア数が1個の場合)
  • レジストリキー情報を参照して CPU 名が「Xeon」の場合、自分自身を終了
  • GlobalMemoryStatusEx API を活用した物理メモリ確認機能(物理メモリが2GB未満の場合)

SandBox 環境の確認が終了すると、ユーザー PC から以下のような情報を流出させ、Zip ファイルで圧縮したあと C&C サーバーに送信する。

  • ブラウザのパスワード情報
  • Web ブラウザの Cookie 情報
  • 仮想通貨関連のウォレット情報
  • ユーザー PC のデスクトップキャプチャ画像
  • PCのCPU、RAM、OS、キーボードのレイアウト情報
  • インストールされたソフトウェアリスト

このようなフィッシングサイトの特異点は、そのフィッシングサイトにアップロードされた他のユーティリティ(Adobe Photoshop CC 2020、DLL Files Fixer等)のクラックバージョンもすべて同じマルウェアの配布元にリダイレクトされ、最終的に実行されるマルウェアが同じであるという点である。

今回の記事で言及したフィッシングサイトだけでなく、情報流出型マルウェアを拡散させるフィッシングサイトの変種は非常に多いと推定されており、一般ユーザーは違法なクラックプログラムサイトへのアクセスを自制し、正常なソフトウェアの使用を心がけなければならない。

現在、AhnLab V3 製品ではこのマルウェアを以下のような診断名で検知およびブロックしている。

[ファイル診断]

Dropper/Win32.AutoIt (2020.11.09.02)

[行為診断]

Malware/MDP.Injection.M3495

[IOC]

<ファイル>

0893CE760326613FFE3E60098780C393

<フィッシングサイト>

  • piratesfile.com
  • haxpc.net
  • free4pc.org
  • hmzapc.com

<C&Cアドレス>

  • http[:]//kirraadd03.top/index.php
0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments