Discord を通じて拡散する Miner マルウェア

ASEC 分析チームは、韓国国内で拡散しているマルウェアをモニタリング中、Discord メッセンジャーによって Minor マルウェアが拡散していることを確認した。攻撃者は、以下のような「無料 Robux ジェネレータ」という Discord のチャットルームで、Roblox というゲームの通貨である Robux を無料で生成してくれるプログラムだと紹介し、ダウンロードを誘導する。

上記の図の下部に表示されている「Robux ジェネレータ-ダウンロード」というリンクをクリックすると、以下のように圧縮ファイルをダウンロードする。

解凍すると「robux free tool.exe」という名前の実行ファイルを確認できるが、このファイルを実行してしまうと様々なマルウェアが段階的にインストールされる。はじめに robux free tool.exe ファイルを実行すると、以下のようなエラーメッセージのポップアップが表示される。このようなメッセージを確認したユーザーは、単純にサーバーに接続されていないことで作動しないのだと考えるだろうが、これが攻撃者の意図した結果である。

しかし、その後ユーザーが「OK」ボタンや X をクリックし、メッセージポップアップを終了すると、実際の不正な振る舞いが実行される。これはサンドボックス環境を回避するための Anti Sandbox ベースで、メッセージポップアップをクリックしないと不正な振る舞いが実行されないため、サンドボックスと同じような自動分析環境でこのような振る舞いを隠すことを目的としている。

このようにに実行される robux free tool.exe は AutoHotkey として開発され、Windows Defender の例外パスに %AppData% および %Temp% を登録して検知されないように設定した後、以下のアドレスから追加のマルウェアをインストールする機能を担う。

– hxxps://bitbucket[.]org/wdawfg2sa/1/downloads/roTokenGrabber.exe

インストールされる roTokenGrabber.exe マルウェアは VMProtect でパックされているが、同じように AutoHotkey として開発され、このマルウェアもダウンローダーマルウェアである。しかしながら異なる点が存在する。直接ダウンロードする代わりに、以下のような Tumblr のページに接続して当該ページに存在するダウンロード URL を参照し、install.exe をインストールする。

– hxxps://chiqao1y18eg1a.tumblr[.]com/post/661746225405722624

– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084266185228358/install.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885086081349988362/svchost.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885085259597754378/lol.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084898862456882/dc.exe

install.exe をインストールした後は Google が提供する Apps Script を利用し、感染システムの基本的な情報を送信する。

– hxxps://script.google[.]com/macros/s/AKfycbyEFoVoRATQK6Q3sjm9PAV23lpfpn_a4d6hvh7424nwv7jLIfu-MsZ71tUYTwq-74rm/exec?

cp=[CPU 名]&
gp=[グラフィックボード名]&
ip=[IP アドレス]&
time=[時間]&
anti=[インストールされているアンチウイルスソフト名]&
what=overwatch&
at=&
url=[install.exe URL アドレス]

install.exe はダウンローダーマルウェアのうち最後のものであり、実質的な3つの(svchost.exe, lol.exe, dc.exe)マルウェアを上記の Tumblr アドレスからダウンロードしてインストールする。

インストールされるマルウェアのうち dc.exe は Defender Control とも呼ばれるユーティリティとして、アンチウイルスの Windows Defender を無効化することができる。特記事項としては、コマンドラインで動作可能なため、ユーザーが認知することなく Windows Defender が無効化されることである。

lol.exe は lolMiner という CoinMiner マルウェアとしてイーサリアムコインのマイニングをサポートし「runtime broker.exe」という名前でインストールされる。svchost.exe はこうしてインストールされた lolMiner に引数を与えて実行させ、実際のマイニングを行わせるマルウェアである。以下は、svchost.exe がマイニングのフルアドレスおよび攻撃者のアカウント情報を与えて lolMiner を実行させるルーティンである。

攻撃者はゲームハックをシェアする Discord サーバーでマイニングマルウェアをゲームハックに偽装して配布しており、こうして配布されるマルウェアはユーザーのシステムに Minor マルウェアをインストールしている。ユーザーは、このような違法プログラムを不明な配布元からインストールするような行為は避けなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

[ファイル検知]
– Malware/Win.AGEN.C4630810 (2021.09.12.03)
– Trojan/Win.Agent.R443575 (2021.10.01.03)
– Trojan/Win.Agent.C4668442 (2021.10.02.00)
– HackTool/Win.Disabler.R442117 (2021.09.20.03)
– Win-Trojan/Miner3.Exp (2020.01.23.00)

[IOC]
ファイル
– robux free tool.exe : e11cab90346e0917cb1d8e270565836b
– TokenGrabber.exe : a03103c3a609b55c2b8e50a3e85f0e60
– install.exe : 3ce561ff43324e120f554a04926948e2
– dc.exe : 0a50081a6cd37aea0945c91de91c5d97
– lol.exe : 57d14b0c79cc490a7c5511b6600976dc
– svchost.exe : 340d0f2a160733b307bbe9434dd8b701

窃取情報伝達アドレス
– hxxps://script.google[.]com/macros/s/AKfycbyEFoVoRATQK6Q3sjm9PAV23lpfpn_a4d6hvh7424nwv7jLIfu-MsZ71tUYTwq-74rm/exec

マルウェアダウンロードアドレス
– hxxps://bitbucket[.]org/wdawfg2sa/1/downloads/roTokenGrabber.exe
– hxxps://chiqao1y18eg1a.tumblr[.]com/post/661746225405722624
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084266185228358/install.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885086081349988362/svchost.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885085259597754378/lol.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084898862456882/dc.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。