CryptBot マルウェアは主に crack やツールの共有に偽装して配布される情報窃取型のマルウェアである。配布ページは Google 等の検索エンジンにおいて検索結果の上位に表示され、感染の危険度が高く、関連する検知の件数も多い方である。そのため、ASEC 分析チームでは過去にも複数の記事を通じて関連する脅威について注意を呼びかけてきた。
CryptBot マルウェアは変形が非常に活発なマルウェアの一つであり、配布ページは常に新しいものが作成され続け、最近は変形バージョンの CryptBot マルウェアが拡散しているため、関連内容を紹介する。
攻撃者が作成したツールの紹介および共有に偽装したスレッドでダウンロードボタンを押すと、複数のリダイレクトを経て最終的に配布ページが表示されるが、新しいタイプが発生し続けている。以下は、比較的最近に作成された配布ページの様子である。
配布ページの変形だけでなく、CryptBot マルウェア自体の変形も活発な方であり、最近では大規模な変形が発生したバージョンが出回っている。このバージョンを過去と比較すると、いくつかの付加機能が削除されて簡素化され、最新ブラウザの環境に合わせて情報窃取コードを変更した様子を確認することができる。
まず、従来の CryptBot マルウェアに含まれていた特徴的な機能のうち一部が削除された。感染対象の CPU 名を確認して「Xeon」環境の場合、不正な振る舞いを行わずに終了するアンチサンドボックスルーティンが削除された。CPU コアの個数とメモリ容量をチェックするアンチ VM ルーティンは以前と同じく残されている。
窃取情報を2つのフォルダーに同じように保存した後、それぞれ異なる C2 に転送する振る舞いも削除された。したがって、これまでは情報窃取用 C2 が二つ、追加のマルウェアダウンロード用 C2 が一つずつ存在していたが、現在出回っている情報窃取用 C2 は一つに減った。
コードを調べてみると、ファイル転送時に転送されたファイルデータをヘッダーに直接追加する方法から、単純に API を使用する方式に変更され、転送時の User-Agent 値も変更された。過去バージョンの場合は当該関数を2回呼び出してそれぞれの C2 に転送していたが、変形バージョンでは一つの C2 アドレスが関数にハードコーディングされている。
また、窃取する情報の中でもデスクトップ画面に存在する TXT ファイルと画面のスクリーンショット収集機能が削除された。アンチ VM ルーティンに検知された場合、またはすべての不正な振る舞いを終えて終了する場合に実行していた自己削除も削除された。
機能の削除だけでなく、機能の改善パッチも存在する。過去バージョンの CryptBot の場合 Chrome ブラウザ情報の窃取時に旧バージョンの Chrome のパス名を使用するため、v96(2021年 11月リリース)以降のバージョンの Chrome ブラウザの情報窃取は不可能であった。最近の変形サンプルの場合、最新の Chrome のパス名をすべて含んでいる。
過去バージョンの CryptBot のコードでは、複数の窃取対象データリストのうち一つでも存在しない場合、当該ブラウザの情報窃取行為自体が失敗する構造であった。したがって、感染対象のシステムが Chrome ブラウザ v81~v95 バージョンを使用している場合にのみ情報窃取が可能であった。今回のコード改善により、バージョンに関係なく対象データが存在する場合は窃取が可能である。
このように、製作者は不正な振る舞いの機能改善パッチを適用すると同時に、不要な機能を複数取り除いている。CryptBot マルウェアはパック方式、内部コード、C2 等の変形が非常に活発で、配布ページがユーザーのもとに露出しやすいという特徴があるため、ユーザーの注意が必要である。
以下は、最近約1週間で拡散した CryptBot マルウェアの IOC 情報である。
[IOC 情報]
- MD5
| 28e1397f9233badf815e22ef2e13634f 33e6e82f629715ce89424c41a847e889 0ceba86a7ab680d71f3dc99bbbec3368 74829260d3acddf20a4cc250e24e4d5e d02b62d008db43c824966101345d65a4 ffe738f3cd8b8dc7e698fb3ded271d98 8f3c845153fe6e83d47b747881588c72 0169a24e049b4a8737256f06a7b666d2 98a86c1d2ffd2ebf30e0cc36efa8aef9 c2c2ced2d3319f3e89e546c7e96da4f9 599d2007777226487a4eb01cef954f99 f3ab03c11b45d48d8efd4206b1d17ccd 7c942ca86fa10d68691df2c13f8b2467 3d83e57852c8e379345a8c34ad2a14c9 2a05717d483b3a8829a50cd977967040 31a6aeffae90556406e82c18abaddd65 cb0eef45148b712e666df23d0015aa82 d6227c96b116293d2d08f50e8f717357 1db0cc5e74198d5c09237795279efb28 d0396014bd3219537b179e2133d7dd18 86d1ed1246c35d69ec580ff2ce8b189f 352f837f51b792c978c27cdac4be2453 f404488eb9ace976f872e5a953c3329c 66b944035e6369c84cbb2c8c4139e556 75330228fce69f2537afb5846c69a7ca 46142e232243bd7d6cbfe8dc8d576316 70e9dfc595511ad71d543860433b02f5 9bcacf1770295c8b2ccebfe8e843ccec ccbad7304639bd0b93baad2a877923fd eb7e00aa720c6145aa13608a4623f40b 26f659c0b4125fcaec364fdcbdece018 fe327314eb2f29690ae99baadb888651 c9a0476bb60feb1d02fba5b22f094db6 b4a37286503fe571115a590349fc2dee 41d859a85dc5d2b405fc702f9df95265 2f9e56c5eea5f4b7b880b0d26d140b63 710f4efa4dc52b36901266fc0c09d810 f2f6b2d9575d556855f12f6d244c5e9b |
- 転送 C2
| rygqwf41[.]top/index.php rygedj410[.]top/index.php rygzil43[.]top/index.php rygiow53[.]top/index.php rygofx510[.]top/index.php rygsay57[.]top/index.php ryghim51[.]top/index.php rygcwa58[.]top/index.php rygvpi61[.]top/index.php rygykd610[.]top/index.php rygkhf63[.]top/index.php rygckz67[.]top/index.php rygnih710[.]top/index.php rygcgf73[.]top/index.php rygsvk77[.]top/index.php rygcup71[.]top/index.php jugpry110[.]top/index.php juglqr13[.]top/index.php jugqay17[.]top/index.php jugkeo11[.]top/index.php jugrjb23[.]top/index.php jugxmo21[.]top/index.php jugfwr33[.]top/index.php jugndj31[.]top/index.php |
- ダウンロード C2
| gewfih05[.]top/download.php?file=fusate.exe gewfec07[.]top/download.php?file=insane.exe gewuib08[.]top/download.php?file=scrods.exe gewtuq10[.]top/download.php?file=swaths.exe kanimx01[.]top/download.php?file=zoster.exe kanlsu03[.]top/download.php?file=avulse.exe kanefo04[.]top/download.php?file=diazin.exe |
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] 変形した CryptBot 情報窃取型マルウェアが拡散中 […]