CryptBot マルウェアは、ソフトウェアのダウンロードページに偽装した不正なサイトから配布される情報奪取型のマルウェアである。複数の不正なサイトが開設されており、有名な商用ソフトウェアである Crack、Serial 等のキーワードを検索すると、検索結果の上位に多数表示されるため、多くのユーザーがそのマルウェアをダウンロードして実行してしまう。また、このサンプルは SFX 方式のパックを使用しているため、正常なものと不正なものの区別が困難な傾向があり、一日に何度も変形が発生する。
ダウンロードページに偽装しているため、ユーザーは正常なファイルと誤認して V3 製品でブロックが発生しても継続的に何度も実行する傾向を示しており、ユーザーの注意が必要である。AhnLab では、このマルウェアの危険性を周知するため、関連情報を継続的にブログに掲載している。
このマルウェアは、以下のように何重にもわたって圧縮されている構造を持っている。特に、最終圧縮ファイルはパスワードが適用されており、同じ経路に置かれた txt ファイルにパスワードが記載されている。
マルウェアを実行すると %temp% パスに 7z.SFX.xxx、IXPxxx.TMP 等の名前のフォルダーを生成した後、そのフォルダーに感染に必要なファイルを生成する。この時、ファイル名と拡張子名は各変形ごとに変更される。生成するファイルは以下の通りである。
- BAT スクリプト (Far.vsdx)
- Autoit スクリプト (Impedire.vsdx)
- 暗号化された CryptBot バイナリ (Vento.vsdx)
- Autoit 実行ファイル (Copre.vsdx)
ファイルを生成した後 BAT スクリプトを実行するが、そのスクリプトの構造は以下の通りである。
この BAT スクリプトは周期的に変形が行われる特徴がある。変形が容易であるというスクリプトの特徴を利用して、機能を維持したまま文法だけを少しずつ変更して変形させるというパターンを示している。以下の表は、直近約一か月間で収集された CryptBot サンプルの BAT スクリプトに変形が発生した日付である。次第に変形の周期が早くなっていることが確認できる。
| Confronto.jar | 2021-06-16 |
| Aprile.accdr | 2021-07-06 |
| Virtuoso.bmp | 2021-07-16 |
| Orti.html | 2021-07-17 |
| Pensai.wmz | 2021-07-21 |
| Lume.eml | 2021-07-22 |
| Ritroverai.aiff | 2021-07-23 |
| Povera.ppsm | 2021-07-24 |
| Ideale.dotx | 2021-07-25 |
| Affonda.wms | 2021-07-26 |
| Esaltavano.tiff | 2021-07-28 |
代表的な変形を詳細に見てみると、以下の表の通りとなる。BAT スクリプトの機能自体に変化はなかったが、文法や使用する環境変数等が少しずつ変形していることが確認できる。
| Aprile.accdr |
| if %userdomain%==DESKTOP-QO5QU33 exit 2 <nul set /p = “MZ”> Ripreso.exe.com findstr /V /R “^AGbW…xiSv$” Fianco.accdr >> Ripreso.exe.com” copy Fra.accdr B start Ripreso.exe.com B ping 127.0.0.1 -n 30 |
| Virtuoso.bmp |
| Set PRehIgqfWNWhFAxNgjgzQhcGBgikLpocQQTp=DESKTOP- Set zVqJPft=QO5QU33 Set bizASaCEemlwdhJhU=MZ if %userdomain%==%PRehIgqfWNWhFAxNgjgzQhcGBgikLpocQQTp% exit 8 <nul set /p = “%bizASaCEemlwdhJhU%“> Compatto.exe.com findstr /V /R “^viIO…hWwHg$” Baciandola.bmp >> Compatto.exe.com” copy Corano.bmp w start Compatto.exe.com w ping 127.0.0.1 -n 30 |
| Lume.eml |
| echo XrHAkUeB echo XrHAkUeB if %userdomain%==DESKTOP-QO5QU33 exit 2 <nul set /p = “MZ”> Mese.exe.com findstr /V /R “^VtHMWSo…DuPlDDuA$” Giorni.eml >> Mese.exe.com” copy Scossa.eml h start Mese.exe.com h ping 127.0.0.1 -n 30 |
| Esaltavano.tiff |
| Set PaWlwDiebzBsRrpYjIjVHC=DESKTOP- Set hQfTrWvlasdWKZ=QO5QU33 if %computername%==%PaWlwDiebzBsRrpYjIjVHC% exit Set OzhMvyIxp=MZ <nul set /p = “%OzhMvyIxp%” > Hai.exe.com findstr /V /R “^fqCO…pHiJlm$” Affettuosa.tiff >> Hai.exe.com” copy Saluta.tiff S start Hai.exe.com S ping localhost -n 30 |
BAT スクリプトは、実行すると Autoit 実行ファイルを [ランダム].exe.com というファイル名でコピーする。その後、Autoit スクリプトを特定のファイル名でコピーした後、引数を渡して当該ファイルを実行する。
Autoit スクリプトは、暗号化されたバイナリを復号して仮想メモリ領域にコピーして実行する。
メモリにロードされた CrpytBot バイナリを実行すると、特定のアンチウイルス製品のディレクトリをチェックする。そのディレクトリが存在する場合、ランダムな数を生成してその数だけ Sleep する。検知を回避するための実行遅延と推定される。
特定ディレクトリの存在有無をチェックする。そのディレクトリがすでに存在する場合、重複実行あるいはすでに感染しているシステムと判断して終了後、自己削除を行う。当該ディレクトリ名はサンプルによって異なる。
自己削除の際、以下のような CMD コマンドを ShellExecuteW 関数によって実行する。
| /c rd /s /q %Temp%\[生成ディレクトリ名] & timeout 2 & del /f /q “[マルウェアの実行パス]” |
本格的に不正な行為が開始されると、%TEMP% パスにランダムなディレクトリを生成した後、各種ユーザー情報の収集を開始する。本サンプルにより収集される情報は、以下の通りである。
- ブラウザ情報 (Chrome, Firefox, Opera)
- Cookie
- 保存されたフォームデータ
- 保存されたアカウント名/パスワード
- 暗号通貨ウォレットの情報
- システム情報
- 実行サンプル名
- OS および国情報
- ユーザーアカウント、PC 名
- ハードウェア情報
- インストールされたプログラムリスト
- スクリーンショット
情報収集が完了すると、生成したディレクトリ全体を暗号化し、 ZIP で圧縮して C2 に送信する。C2 アドレスは .top ドメインを使用している点が特徴であり、頻繁に変更される。通常、CryptBot マルウェアのサンプル一つあたりの情報送信用 C2 は二つ、追加のマルウェアダウンロード用 C2 は一つである。
C2 への送信作業を完了すると、特定の URL にアクセスして追加のマルウェアをダウンロードした後、実行する。主に ClipBanker 系のマルウェアをダウンロードすることが確認されている。
このマルウェアに感染すると、アカウント名やパスワード、暗号通貨ウォレット等の機密情報が流出される。流出した情報を悪用して二次的被害が発生する可能性が高いため、注意しなければならない。
一方、AhnLab V3 プロダクトラインではこのマルウェアを以下のような検知名で検知している。
Trojan/Win.CryptLoader.XM122
Trojan/BAT.CryptLoader.S1612
Trojan/BAT.CryptLoader.S1610
Win-Trojan/MalPeP.mexp
[IOC 情報]
c2bc3bef415ae0ed2e89cb864fff2bfc
58774ece556b0a1e01443ea1c3c68e5a
ewais32[.]top/index.php
morxeg03[.]top/index.php
winxob04[.]top/download.php?file=lv.exe
smaxgr31[.]top/index.php
morers03[.]top/index.php
gurswj04[.]top/download.php?file=lv.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] 変形を続けて拡散している情報奪取 型マルウェアの CryptBot […]
[…] – [ASEC ブログ] 変形を続けて拡散している情報窃取型マルウェアの CryptBot […]
[…] 変形を続けて拡散している情報奪取型マルウェアの CryptBot […]