変形を続けて拡散している 情報奪取型マルウェアの CryptBot

CryptBot マルウェアは、ソフトウェアのダウンロードページに偽装した不正なサイトから配布される情報奪取型のマルウェアである。複数の不正なサイトが開設されており、有名な商用ソフトウェアである Crack、Serial 等のキーワードを検索すると、検索結果の上位に多数表示されるため、多くのユーザーがそのマルウェアをダウンロードして実行してしまう。また、このサンプルは SFX 方式のパックを使用しているため、正常なものと不正なものの区別が困難な傾向があり、一日に何度も変形が発生する。

ダウンロードページに偽装しているため、ユーザーは正常なファイルと誤認して V3 製品でブロックが発生しても継続的に何度も実行する傾向を示しており、ユーザーの注意が必要である。AhnLab では、このマルウェアの危険性を周知するため、関連情報を継続的にブログに掲載している。

図1.CryptBot マルウェアの配布サイトの例

このマルウェアは、以下のように何重にもわたって圧縮されている構造を持っている。特に、最終圧縮ファイルはパスワードが適用されており、同じ経路に置かれた txt ファイルにパスワードが記載されている。

図2.不正なサイトからダウンロードした圧縮ファイル

マルウェアを実行すると %temp% パスに 7z.SFX.xxx、IXPxxx.TMP 等の名前のフォルダーを生成した後、そのフォルダーに感染に必要なファイルを生成する。この時、ファイル名と拡張子名は各変形ごとに変更される。生成するファイルは以下の通りである。

図3.ドロップファイル
  • BAT スクリプト (Far.vsdx)
  • Autoit スクリプト (Impedire.vsdx)
  • 暗号化された CryptBot バイナリ (Vento.vsdx)
  • Autoit 実行ファイル (Copre.vsdx)

ファイルを生成した後 BAT スクリプトを実行するが、そのスクリプトの構造は以下の通りである。

図4.BAT スクリプト

この BAT スクリプトは周期的に変形が行われる特徴がある。変形が容易であるというスクリプトの特徴を利用して、機能を維持したまま文法だけを少しずつ変更して変形させるというパターンを示している。以下の表は、直近約一か月間で収集された CryptBot サンプルの BAT スクリプトに変形が発生した日付である。次第に変形の周期が早くなっていることが確認できる。

Confronto.jar 2021-06-16
Aprile.accdr 2021-07-06
Virtuoso.bmp 2021-07-16
Orti.html 2021-07-17
Pensai.wmz 2021-07-21
Lume.eml 2021-07-22
Ritroverai.aiff 2021-07-23
Povera.ppsm 2021-07-24
Ideale.dotx 2021-07-25
Affonda.wms 2021-07-26
Esaltavano.tiff 2021-07-28
[表1]変形発生日

代表的な変形を詳細に見てみると、以下の表の通りとなる。BAT スクリプトの機能自体に変化はなかったが、文法や使用する環境変数等が少しずつ変形していることが確認できる。

Aprile.accdr
if %userdomain%==DESKTOP-QO5QU33 exit 2
<nul set /p = “MZ”> Ripreso.exe.com
findstr /V /R “^AGbW…xiSv$” Fianco.accdr >> Ripreso.exe.com”
copy Fra.accdr B
start Ripreso.exe.com B
ping 127.0.0.1 -n 30
Virtuoso.bmp
Set PRehIgqfWNWhFAxNgjgzQhcGBgikLpocQQTp=DESKTOP-
Set zVqJPft=QO5QU33
Set bizASaCEemlwdhJhU=MZ

if %userdomain%==%PRehIgqfWNWhFAxNgjgzQhcGBgikLpocQQTp% exit 8
<nul set /p = “%bizASaCEemlwdhJhU%“> Compatto.exe.com
findstr /V /R “^viIO…hWwHg$” Baciandola.bmp >> Compatto.exe.com”
copy Corano.bmp w
start Compatto.exe.com w
ping 127.0.0.1 -n 30
Lume.eml
echo XrHAkUeB
echo XrHAkUeB

if %userdomain%==DESKTOP-QO5QU33 exit 2
<nul set /p = “MZ”> Mese.exe.com
findstr /V /R “^VtHMWSo…DuPlDDuA$” Giorni.eml >> Mese.exe.com”
copy Scossa.eml h
start Mese.exe.com h
ping 127.0.0.1 -n 30
Esaltavano.tiff
Set PaWlwDiebzBsRrpYjIjVHC=DESKTOP-
Set hQfTrWvlasdWKZ=QO5QU33
if %computername%==%PaWlwDiebzBsRrpYjIjVHC% exit
Set OzhMvyIxp=MZ
<nul set /p = “%OzhMvyIxp%” > Hai.exe.com
findstr /V /R “^fqCO…pHiJlm$” Affettuosa.tiff >> Hai.exe.com”
copy Saluta.tiff S
start Hai.exe.com S
ping localhost -n 30
[表2]変形内容

BAT スクリプトは、実行すると Autoit 実行ファイルを [ランダム].exe.com というファイル名でコピーする。その後、Autoit スクリプトを特定のファイル名でコピーした後、引数を渡して当該ファイルを実行する。

図5.実行された Autoit プロセス

Autoit スクリプトは、暗号化されたバイナリを復号して仮想メモリ領域にコピーして実行する。

図6.復号された CryptBot マルウェアのバイナリ

メモリにロードされた CrpytBot バイナリを実行すると、特定のアンチウイルス製品のディレクトリをチェックする。そのディレクトリが存在する場合、ランダムな数を生成してその数だけ Sleep する。検知を回避するための実行遅延と推定される。

図7.アンチウイルス製品のディレクトリをチェックするコード

特定ディレクトリの存在有無をチェックする。そのディレクトリがすでに存在する場合、重複実行あるいはすでに感染しているシステムと判断して終了後、自己削除を行う。当該ディレクトリ名はサンプルによって異なる。

図8.重複実行のチェック

自己削除の際、以下のような CMD コマンドを ShellExecuteW 関数によって実行する。

/c rd /s /q %Temp%\[生成ディレクトリ名] & timeout 2 & del /f /q “[マルウェアの実行パス]”
[表3]自己削除コマンド

本格的に不正な行為が開始されると、%TEMP% パスにランダムなディレクトリを生成した後、各種ユーザー情報の収集を開始する。本サンプルにより収集される情報は、以下の通りである。

  • ブラウザ情報 (Chrome, Firefox, Opera)
    • Cookie
    • 保存されたフォームデータ
    • 保存されたアカウント名/パスワード
  • 暗号通貨ウォレットの情報
  • システム情報
    • 実行サンプル名
    • OS および国情報
    • ユーザーアカウント、PC 名
    • ハードウェア情報
    • インストールされたプログラムリスト
    • スクリーンショット
図9.ブラウザで保存したアカウントおよびパスワードの収集データ
図10.システム情報収集データ

情報収集が完了すると、生成したディレクトリ全体を暗号化し、 ZIP で圧縮して C2 に送信する。C2 アドレスは .top ドメインを使用している点が特徴であり、頻繁に変更される。通常、CryptBot マルウェアのサンプル一つあたりの情報送信用 C2 は二つ、追加のマルウェアダウンロード用 C2 は一つである。

図11.C2 送信コード

C2 への送信作業を完了すると、特定の URL にアクセスして追加のマルウェアをダウンロードした後、実行する。主に ClipBanker 系のマルウェアをダウンロードすることが確認されている。

図12.追加マルウェアのダウンロードおよび実行コード

このマルウェアに感染すると、アカウント名やパスワード、暗号通貨ウォレット等の機密情報が流出される。流出した情報を悪用して二次的被害が発生する可能性が高いため、注意しなければならない。

一方、AhnLab V3 プロダクトラインではこのマルウェアを以下のような検知名で検知している。

Trojan/Win.CryptLoader.XM122
Trojan/BAT.CryptLoader.S1612
Trojan/BAT.CryptLoader.S1610
Win-Trojan/MalPeP.mexp

[IOC 情報]

c2bc3bef415ae0ed2e89cb864fff2bfc
58774ece556b0a1e01443ea1c3c68e5a

ewais32[.]top/index.php
morxeg03[.]top/index.php
winxob04[.]top/download.php?file=lv.exe

smaxgr31[.]top/index.php
morers03[.]top/index.php
gurswj04[.]top/download.php?file=lv.exe


関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 3 votes
評価する
Subscribe
Notify of
guest

3 コメント
Inline Feedbacks
View all comments
trackback

[…] 変形を続けて拡散している情報奪取 型マルウェアの CryptBot […]

trackback

[…] – [ASEC ブログ] 変形を続けて拡散している情報窃取型マルウェアの CryptBot […]

trackback

[…] 変形を続けて拡散している情報奪取型マルウェアの CryptBot […]