Discord を利用した違法ポルノに偽装したインフォスティーラー型マルウェアの拡散

ASEC 分析チームでは、最近 Discord メッセンジャーを通じて情報奪取型マルウェアが拡散していることを確認した。Discord を通じて配布されるこのマルウェアは、奪取した情報を Discord API を利用して攻撃者に伝達する。参考に、Discord を利用して配布する方式は従来も紹介したことがある。

https://asec.ahnlab.com/jp/19333/

マルウェアを配布する Discord サーバーは違法な成人向けコンテンツを販売および流通するところである。マルウェアの製作者かつサーバー管理者は具体的に、当該サーバーの「無料アダルト動画」チャンネルに圧縮ファイルをアップロードしてユーザーの実行を誘導している。

run_2.zip 圧縮ファイルを解凍すると run.exe 実行ファイルが確認でき、これが .NET で開発された実際のマルウェアである。このマルウェアは現在時間を取得し、2021年6月21日の21:29:57以降に実行される場合は例外を発生させ、終了する。そしてこの日付よりも前に実行される場合は、不正な行為を実行する。

不正な行為発現のための時間条件

一番最初に行う行為は、正常なプロセスである regasm.exe を実行し、その内部にエンコードして持っていたマルウェアをデコード、およびインジェクションするというものである。一般的に韓国国内で拡散しているマルウェアは njRAT のような RAT マルウェアが多数であるが、攻撃者はこれらのマルウェアの代わりに WebBrowserPassView という Web ブラウザのアカウント情報奪取に使われる NirSoft のユーティリティを悪用している。

デコードされた WebBrowserPassView PE

WebBrowserPassView は基本的には GUI プログラムだが、実行時に引数として /stext およびパス名を渡すと、ユーザーが認知するのが困難なコマンドラインで動作することができる。すなわち、以下のように「/stext data.dll」引数を与えたということは、ユーザーが認知していない状態で現在のシステムの Web ブラウザに対するアカウント情報を奪取した後、結果のテキストファイルを data.dll という名前で同じパスに生成するというコマンドである。

WebBrowserPassView の実行に使用される引数

その後、ユーザーの Discord Token を奪取する。そのために、以下のようなフォルダーのパスで .ldb または .log 拡張子のファイルを読み取り、トークンのキーワードを探す。

\AppData\Roaming\discord\Local Storage\leveldb
\AppData\Roaming\discordptb\Local Storage\leveldb
\AppData\Roaming\discordcanary\Local Storage\leveldb
\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb
\AppData\Local\Naver\Naver Whale\User Data\Default\Local Storage\leveldb
\AppData\Roaming\Opera Software\Opera Stable\Local Storage\leveldb
\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
\AppData\Local\Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

このように取得したトークンは、現在のシステムのユーザー名とともに Discord WebHook API を通じて攻撃者に伝達される。WebHook API を利用すれば攻撃者の Discord サーバーにデータとともに通知を伝達することができる。すなわち、以下のような URL に対して情報とともに POST をリクエストすると、攻撃者は通知と同時に奪取した情報を受け取ることができる。参考に、ここで使用される URL、すなわち攻撃者の WebHooks ID および Token は、以下の通りである。

hxxps://discordapp[.]com/api/webhooks/850992968948121641/vOIDbofeitMYkhskGBRl_N-wZTkqd5Pep2MapAwzZ6g4gAKxXMvYt4HzGSQXruBWq_-x

トークン情報の伝達

感染したユーザーの Discord トークンを伝達した後は、奪取した Web ブラウザのアカウント情報、すなわち data.dll ファイルを伝達する。この際にユーザー名、IP アドレス、OS 情報、CPU コア数、PC 名とともにファイル形式で伝達する。

奪取した Web ブラウザのアカウント情報伝達

奪取した情報をすべて伝達した後は、Web ブラウザアカウントの情報が含まれた data.dll ファイルを削除して終了する。

奪取した情報を攻撃者に伝達

攻撃者は違法な成人向けコンテンツを共有する Discord サーバーで、無料の成人向けコンテンツに偽装した情報奪取型マルウェアを配布しており、こうして配布されたマルウェアも同じく Discord を悪用して、奪取した情報を攻撃者に伝達している。ユーザーは、このような違法動画を共有する行為が法に反するということを認知しなければならず、不明な配布元からファイルをダウンロードするような行為は避けなければならない。また、V3 を最新バージョンにアップデートしてマルウェアの感染を事前に遮断できるように注意を払わなければならない。

[ファイル検知]
– Trojan/Win.Generic.C4518741 (2021.06.08.03)

[ビヘイビア検知]
– Malware/MDP.Inject.M3134

[IOC]
– 情報奪取型マルウェア : 982c55aed3a44155f3c6830fb57b02fa
– WebBrowserPassView : 053778713819beab3df309df472787cd
– Discord WebHooks API : hxxps://discordapp[.]com/api/webhooks/850992968948121641/vOIDbofeitMYkhskGBRl_N-wZTkqd5Pep2MapAwzZ6g4gAKxXMvYt4HzGSQXruBWq_-x

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments