特定のゲームプラットフォームを悪用した Vidar インフォスティーラー

AhnLab ASEC 分析チームでは、最近 Vidar というインフォスティーラー型マルウェアが Faceit というゲームのマッチングプログラムを悪用して、C&C サーバーのアドレスを取得していることを確認した。Vidar はスパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされる等、以前から継続的に拡散され続いているマルウェアである。

Vidar は情報奪取行為を実行する前に C&C サーバーに接続してコマンドを受け取り、追加で複数の DLL をダウンロードしてユーザーの情報を収集する。過去には一般的なマルウェアと同様に、単純に C&C サーバーに接続してコマンドおよび追加のファイルを受け取っていたが、最近確認されている Vidar は実際の C&C サーバーを得るためにオンラインゲームのプラットフォームを悪用する方法を利用している。

ちなみに、Faceit とはオンラインゲームユーザーのゲームマッチングをサポートするプラットフォームであり、以下のように PUBG、DOTA2、Counter-Strike：Global Offensive 等、様々なオンラインゲームに対応している。

Vidar でこれを悪用する事例を見ると、まず以下のように C&C サーバーと通信する前に faceit.com の API URL を生成することがわかる。以下のルーティンによって生成される URL は以下の通りである。ここで、「sslamlssa」は攻撃者の Faceit ID である。

– hxxps://api.faceit[.]com/core/v1/nicknames/sslamlssa

上記 URL に HTTP GET をリクエストすると faceit.com から json フォーマットのデータを渡される。Vidar はこのデータから「about」項目を構文解析するが、この部分が実際の C&C サーバーのアドレスである。

– hxxp://188.34.193[.]205

実際に faceit.com にアクセスしてユーザー「sslamlssa」のプロフィールページを確認すると、以下のように ABOUT 項目にマルウェアの C&C サーバーのアドレスが入力されていることがわかる。

もし攻撃者が ABOUT 項目を編集して別のアドレスを記入した場合、Vidar インフォスティーラーも変更された C&C サーバーに接続して不正な行為を実行するものと思われる。Faceit の攻撃者のアカウントが削除されない限り、攻撃者は周期的に C&C サーバーを変更し、同じマルウェアであっても異なる C&C サーバーに接続させることができる。すなわち、このような方式を使用するのは C&C アドレスのネットワーク検知を回避するためのものであると見られる。

Vidar はこのようにして確保した実際の C&C サーバーに接続して、コマンドおよび情報奪取に必要な DLL を受け取り、最終的に奪取した情報を C&C サーバーに送信する。参考に、渡されたデータを確認すると、この Vidar のバージョンが v38.6 であることがわかる。

ユーザーは疑わしいメールを受信した場合、添付ファイルを開かないように注意しなければならず、正規のソフトウェアを使用するように心がけ、疑わしい Web サイトや P2P の利用は避けなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

現在当社 V3 製品では、このマルウェアを以下の通り診断している。

[ファイル検知]
– Trojan/Win.Generic.C4452995 (2021.05.06.01)

[ビヘイビア検知]
– Malware/MDP.Behavior.M1965
– Malware/MDP.Inject.M3034
– Malware/MDP.Behavior.M3108

[IOC]
ファイル
5a9c15ad92f14ce0b36726ccd4eb4ef7

C&C
– hxxps://api.faceit[.]com/core/v1/nicknames/sslamlssa
– hxxp://188.34.193[.]205