最近、スパムメールによる Snake Keylogger の拡散が急増している。Snake Keylogger は .NET で作られた情報流出型マルウェアとして、以下の週間統計においても確認できる通り、最近では常に Top 5 以内に含まれている。
主にスパムメールを通じて配布される情報流出型マルウェアであるという点において、マルウェア AgentTesla と類似する点が多い。Snake Keylogger も AgentTesla のようにメール、すなわち SMTP プロトコルを利用した情報流出機能をサポートしている。
マルウェアを添付したスパムメールを通じて配布されるマルウェアとしては、AgentTesla 以外にも Lokibot、Formbook、AveMaria、Remcos ようなインフォスティーラー型および RAT マルウェアが存在する。以下はマルウェアの配布に使用されたスパムメールの事例であり、以下のように典型的な見積もり/購買関連のメールに偽装したものが多数である。
.NET マルウェアはビルダーを利用し、作成されたマルウェアに対するファイル検知を回避すると共に、解析を妨害するための目的で難読化を実行する。以下は難読化された関数であり、このマルウェアが Snake Keylogger と名付けられた理由を知ることができる。
参考に、Snake Keylogger は昨年末から拡散が確認され始めたが、それ以前の2020年中旬頃から出回っていた Matiex Keylogger とほぼ同じ形式である。機能およびルーティン、関数名のほとんどが同じであるが、難読化された関数名から Snake の文字列の代わりに Matiex が使われている点が唯一の違いである。以下は Matiex Keylogger の難読化された関数である。
Matiex Keylogger は、以下のように開発者がハッキングフォーラムサイトで様々な機能をアピールしていた履歴を確認することができる。
直近の2021年2月1日には、ソースコードの販売スレッドも立てていた。しかし、Snake Keylogger という名前のマルウェアが確認され始めたのは昨年末であるため、Matiex Keylogger を購入した攻撃者がこれを編集して配布したのではないと思われる。もちろん、ソースコードの販売をすでに開始していたか、Snake Keylogger が Matiex Keylogger の新バージョンである可能性もある。
Snake Keylogger または Matiex Keylogger は、数十種類の Web ブラウザおよび電子メールクライアント、更に FTP クライアント等、様々なプログラムのユーザーアカウント情報を奪取することができる。これ以外にも、スクリーンショット、クリップボード、マイク、キーロガー機能を有効にして周期的にユーザーの個人情報を奪取して受信することができる。関数名は、最近の新型コロナウイルスの流れに合わせて「COVID」というキーワードを付けていることが特徴である。
受信する方式も様々だが、現在出回っているマルウェアを見ると、大半は SMTP、すなわち電子メールを利用して奪取した情報を攻撃者に伝達している。しかし、伝達方式としては SMTP 以外にも、FTP、Telegram、Discord のような4種類のオプションが提供されている。
Snake Keylogger マルウェアはスパムメールを通じて拡散しているため、ユーザーは疑わしいメールを受信した場合、添付ファイルを開かないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
[ファイル検知]
– Malware/Win32.RL_Generic.C4174185 (2020.08.01.01)
– Trojan/Win.Generic.C4407755 (2021.04.09.01)
[行為検知]
– Malware/MDP.Behavior.M3108
[IOC]
– bbebe99bf36cb3dc4c3c37a9487468ac
ㄴ SMTP サーバー : mail.minioninvest[.]com
ㄴ User : support@minioninvest[.]com
ㄴ Password : uche***08
ㄴ Receiver : support@minioninvest[.]com
– f3f7d01818ca5056ccc76bdd38dc540f
ㄴ SMTP サーバー : smtp.synholding.com
ㄴ User : dkasparek@synholding[.]com
ㄴ Password : iLrr*W***6
ㄴ Receiver : dkasparek@synholding[.]com
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/22111/ […]
[…] https://asec.ahnlab.com/jp/22111/ […]
[…] https://asec.ahnlab.com/jp/22111/ […]
[…] AgentTesla[2] や SnakeKeylogger[3]、RedLine[4] Stealer […]