AhnLab ASEC 分析チームは、最近 Discord メッセンジャーを通じて RAT (Remote Administration Tool)マルウェアが拡散していることを確認した。現在、このマルウェアをダウンロードするダウンローダーマルウェアが「アダルト動画リンク.exe」という名前で出回っており、このマルウェアが実行されると、外部から RAT マルウェアをダウンロードしてインストールする。
Discord はチャットおよび音声、ビデオ通話をサポートするインスタントメッセンジャープログラムであり、韓国国内でもよく使用される代表的なインスタントメッセンジャーのひとつである。音声チャットのような機能をサポートしているため、主にゲームをプレイするときに使用され、この他にもコミュニケーションツールのような様々な目的で多くのユーザーが利用している。
問題は、プライベートなインスタントメッセンジャーの特性上、違法な目的で使用される場合があり、以下のように違法なポルノを共有するために使用される可能性がある。「アダルト動画リンク.exe」という名前を持つマルウェアを拡散する Discord のチャットルームは以下の通りである。
違法動画およびマルウェアの配布者は、以下のような文章を通して「アダルト動画リンク.exe」という名前のツールをダウンロードして実行するように誘導する。また、アンチウイルスソフトによる診断を回避する目的で、アンチウイルスの削除、またはリアルタイムスキャンを無効化するように誘導する。
上記のリンクをクリックすると link.zip という圧縮ファイルがダウンロードされ、展開すると「アダルト動画リンク.exe」という名前のダウンローダーマルウェアが確認できる。このプログラムを実行すると、以下のような GUI が確認できる。
各ボタンをクリックすると、以下のように mega.nz 共有サイトを利用して違法な性的動画コンテンツを配布していることが確認できる。
参考に、各ボタンごとに mega.nz を利用する数多くの違法なポルノが保存されているため、30個ほどのボタンがあるということは、このような共有サイトが少なくとも30個程度は存在するということを意味する。現在、いくつかのリンクは接続できない状態だが、それにもかかわらずほとんどのリンクが現在も接続可能であり、ひとつのサイトに多数の違法な動画が含まれている。その数を推し量ることは困難である。
また、この「アダルト動画リンク.exe」プログラムは違法動画コンテンツの配布のみ使用されることではなく、マルウェアの拡散にも使用されるという特徴がある。すなわち、「アダルト動画リンク.exe」は実行時に上記のような GUI を表示するよりも前に、以下のようなアドレスから2つのマルウェアをダウンロードする。
最初に接続する vs.txt にはバージョン情報が入っているが、これは攻撃者がバージョン管理を行う目的であり、最新バージョンで追加されたものである。この Web ページにアクセスすると、以下のようにマルウェアがアップロードされていることが確認できる。
以下は、現在までに確認されている「アダルト動画リンク.exe」ファイルに関する情報である。
a.アダルト動画リンク.exe
– md5
d7e9544a8c8df86f738e4898025bf207
– 追加マルウェアのダウンロードURL
http[:]//websh.p-e[.]kr/reg.exe
b.アダルト動画リンク.exe
– md5
40621e3e9b68469697262e5766e596d9
– 追加マルウェアのダウンロードURL
http[:]//websh.p-e[.]kr/Server.exe
http[:]//websh.p-e[.]kr/reg.exe
c.アダルト動画リンク.exe v0.0
– md5
521dd96ef9565777c5c388b00146c3eb
– 追加マルウェアのダウンロードURL
http[:]//websh.p-e[.]kr/Update.exe
http[:]//websh.p-e[.]kr/reg.exe
d.アダルト動画リンク.exe v0.1
– md5
2116181929f8eaf1e28990e6ba56bf11
– 追加マルウェアのダウンロードURL
http[:]//websh.p-e[.]kr/Update.exe
http[:]//websh.p-e[.]kr/reg.exe
追加でダウンロードされるマルウェアは、njRAT と AsyncRAT である。どちらも RAT マルウェアとして C&C サーバーから攻撃者の命令を受けて不正な行為を実行できる。njRAT は、韓国国内では主にウェブハードおよび Torrent を通じて拡散している。
AsyncRAT は .NET で開発されたオープンソース RAT ツールとして、njRAT や他の RAT 類のマルウェアのようにキーロガーおよびスクリーンショットロガー、アカウント情報の抽出等の不正な行為を実行できる。
これらのマルウェアは C:\Program Files (x86)\Windows File\ パスにダウンロードされたあと、reg.exe、Update.exe、Server.exe のような名前で実行される。また、AsyncRAT は正常なプロセスである InstallUtil.exe にインジェクションを行うため、プロセス名をチェックするだけでは不十分である。
攻撃者は定期的にダウンローダーおよび追加のダウンロードマルウェアを変更しているが、これは診断を回避するための目的である。そして、そのためにバージョンをチェックするルーティンを追加して最新バージョンのみが実行されるようにしている。最近、確認されている AsyncRAT と njRAT は Themida を利用してパックし、診断および分析を回避している。
このように Discord を悪用したマルウェアが活発に出回っているため、注意が必要である。ユーザーは、このような違法動画共有のような行為が法に反するということを熟知しなければならず、不明な配布元からファイルをダウンロードするような行為は避けなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前にブロックできるように注意を要する。
現在、AhnLab V3 製品ではこのマルウェアを以下のような診断名で検知およびブロックしている。
[ファイル診断]
Trojan/Win32.MSILKrypt.C4265600 (2020.12.18.04)
Trojan/Win32.MSILKrypt.C4266357 (2020.12.19.09)
Trojan/Win32.MSILKrypt.C4266361 (2020.12.19.09)
Trojan/Win32.AsyncRAT.C4265591 (2020.12.18.04)
Trojan/Win32.AsyncRAT.C4265605 (2020.12.18.04)
Trojan/Win32.AsyncRAT.C4265840 (2020.12.18.07)
Trojan/Win32.Korat.R207428 (2017.08.25.03)
Malware/Win32.RL_Generic.C4265239 (2020.12.18.01)
Backdoor/Win32.LimeRAT.C4266728 (2020.12.20.08)
Backdoor/Win32.LimeRat.R359305 (2020.12.21.05)
[行為診断]
Malware/MDP.Inject.M3034
Malware/MDP.Behavior.M3108
[IoC]
– ダウンロードURL
http[:]//websh.p-e[.]kr/Update.exe
http[:]//websh.p-e[.]kr/Server.exe
http[:]//websh.p-e[.]kr/reg.exe
– MD5
ダウンローダーマルウェア
2116181929f8eaf1e28990e6ba56bf11
521dd96ef9565777c5c388b00146c3eb
40621e3e9b68469697262e5766e596d9
d7e9544a8c8df86f738e4898025bf207
AsyncRAT
ec48a1a19969f1703022212e5e681bab
bc282ef8aecb7b9fb8ebf2703d11e4ee
076ac88a3316f668b5de5d76a279f835
a61de9af8dae6d601067dec8ae5783fb
6116558014180951c10428c2491e97dc
77393e0212e2090a5ab04a290c79a913
njRAT
808e1ade2dea30a742f120a5a26d6a32
6bc71222c8004fe42572c948e90629cf
144de52e7ecc73be34d350401ef814ed
47f99fb35cb7bd2e54e35695d9f5db4e
– C&Cアドレス
AsyncRAT
daue.kro[.]kr:1324
njRAT
gore.p-e[.]kr:5555
gore.r-e[.]kr:5552
Categories:マルウェアの情報