変形した CryptBot 情報窃取型マルウェアが拡散中

CryptBot マルウェアは主に crack やツールの共有に偽装して配布される情報窃取型のマルウェアである。配布ページは Google 等の検索エンジンにおいて検索結果の上位に表示され、感染の危険度が高く、関連する検知の件数も多い方である。そのため、ASEC 分析チームでは過去にも複数の記事を通じて関連する脅威について注意を呼びかけてきた。

CryptBot マルウェアは変形が非常に活発なマルウェアの一つであり、配布ページは常に新しいものが作成され続け、最近は変形バージョンの CryptBot マルウェアが拡散しているため、関連内容を紹介する。

攻撃者が作成したツールの紹介および共有に偽装したスレッドでダウンロードボタンを押すと、複数のリダイレクトを経て最終的に配布ページが表示されるが、新しいタイプが発生し続けている。以下は、比較的最近に作成された配布ページの様子である。

図1.マルウェア配布ページの例

配布ページの変形だけでなく、CryptBot マルウェア自体の変形も活発な方であり、最近では大規模な変形が発生したバージョンが出回っている。このバージョンを過去と比較すると、いくつかの付加機能が削除されて簡素化され、最新ブラウザの環境に合わせて情報窃取コードを変更した様子を確認することができる。

まず、従来の CryptBot マルウェアに含まれていた特徴的な機能のうち一部が削除された。感染対象の CPU 名を確認して「Xeon」環境の場合、不正な振る舞いを行わずに終了するアンチサンドボックスルーティンが削除された。CPU コアの個数とメモリ容量をチェックするアンチ VM ルーティンは以前と同じく残されている。

窃取情報を2つのフォルダーに同じように保存した後、それぞれ異なる C2 に転送する振る舞いも削除された。したがって、これまでは情報窃取用 C2 が二つ、追加のマルウェアダウンロード用 C2 が一つずつ存在していたが、現在出回っている情報窃取用 C2 は一つに減った。

図2.従来の CryptBot(上)および変形した CryptBot(下)の C2 通信の比較

コードを調べてみると、ファイル転送時に転送されたファイルデータをヘッダーに直接追加する方法から、単純に API を使用する方式に変更され、転送時の User-Agent 値も変更された。過去バージョンの場合は当該関数を2回呼び出してそれぞれの C2 に転送していたが、変形バージョンでは一つの C2 アドレスが関数にハードコーディングされている。

図3.従来の CryptBot(上)および変形した CryptBot(下)の C2 転送コードの比較

また、窃取する情報の中でもデスクトップ画面に存在する TXT ファイルと画面のスクリーンショット収集機能が削除された。アンチ VM ルーティンに検知された場合、またはすべての不正な振る舞いを終えて終了する場合に実行していた自己削除も削除された。

図4.従来の CryptBot(左)および変形した CryptBot(右)の Main ルーティン関数の比較

機能の削除だけでなく、機能の改善パッチも存在する。過去バージョンの CryptBot の場合 Chrome ブラウザ情報の窃取時に旧バージョンの Chrome のパス名を使用するため、v96(2021年 11月リリース)以降のバージョンの Chrome ブラウザの情報窃取は不可能であった。最近の変形サンプルの場合、最新の Chrome のパス名をすべて含んでいる。

過去バージョンの CryptBot のコードでは、複数の窃取対象データリストのうち一つでも存在しない場合、当該ブラウザの情報窃取行為自体が失敗する構造であった。したがって、感染対象のシステムが Chrome ブラウザ v81~v95 バージョンを使用している場合にのみ情報窃取が可能であった。今回のコード改善により、バージョンに関係なく対象データが存在する場合は窃取が可能である。

図5.従来の CryptBot(左)および変形した CryptBot(右)の窃取情報パス名の比較

このように、製作者は不正な振る舞いの機能改善パッチを適用すると同時に、不要な機能を複数取り除いている。CryptBot マルウェアはパック方式、内部コード、C2 等の変形が非常に活発で、配布ページがユーザーのもとに露出しやすいという特徴があるため、ユーザーの注意が必要である。

以下は、最近約1週間で拡散した CryptBot マルウェアの IOC 情報である。

[IOC 情報]

  • MD5
28e1397f9233badf815e22ef2e13634f
33e6e82f629715ce89424c41a847e889
0ceba86a7ab680d71f3dc99bbbec3368
74829260d3acddf20a4cc250e24e4d5e
d02b62d008db43c824966101345d65a4
ffe738f3cd8b8dc7e698fb3ded271d98
8f3c845153fe6e83d47b747881588c72
0169a24e049b4a8737256f06a7b666d2
98a86c1d2ffd2ebf30e0cc36efa8aef9
c2c2ced2d3319f3e89e546c7e96da4f9
599d2007777226487a4eb01cef954f99
f3ab03c11b45d48d8efd4206b1d17ccd
7c942ca86fa10d68691df2c13f8b2467
3d83e57852c8e379345a8c34ad2a14c9
2a05717d483b3a8829a50cd977967040
31a6aeffae90556406e82c18abaddd65
cb0eef45148b712e666df23d0015aa82
d6227c96b116293d2d08f50e8f717357
1db0cc5e74198d5c09237795279efb28
d0396014bd3219537b179e2133d7dd18
86d1ed1246c35d69ec580ff2ce8b189f
352f837f51b792c978c27cdac4be2453
f404488eb9ace976f872e5a953c3329c
66b944035e6369c84cbb2c8c4139e556
75330228fce69f2537afb5846c69a7ca
46142e232243bd7d6cbfe8dc8d576316
70e9dfc595511ad71d543860433b02f5
9bcacf1770295c8b2ccebfe8e843ccec
ccbad7304639bd0b93baad2a877923fd
eb7e00aa720c6145aa13608a4623f40b
26f659c0b4125fcaec364fdcbdece018
fe327314eb2f29690ae99baadb888651
c9a0476bb60feb1d02fba5b22f094db6
b4a37286503fe571115a590349fc2dee
41d859a85dc5d2b405fc702f9df95265
2f9e56c5eea5f4b7b880b0d26d140b63
710f4efa4dc52b36901266fc0c09d810
f2f6b2d9575d556855f12f6d244c5e9b
  • 転送 C2
rygqwf41[.]top/index.php
rygedj410[.]top/index.php
rygzil43[.]top/index.php
rygiow53[.]top/index.php
rygofx510[.]top/index.php
rygsay57[.]top/index.php
ryghim51[.]top/index.php
rygcwa58[.]top/index.php
rygvpi61[.]top/index.php
rygykd610[.]top/index.php
rygkhf63[.]top/index.php
rygckz67[.]top/index.php
rygnih710[.]top/index.php
rygcgf73[.]top/index.php
rygsvk77[.]top/index.php
rygcup71[.]top/index.php
jugpry110[.]top/index.php
juglqr13[.]top/index.php
jugqay17[.]top/index.php
jugkeo11[.]top/index.php
jugrjb23[.]top/index.php
jugxmo21[.]top/index.php
jugfwr33[.]top/index.php
jugndj31[.]top/index.php
  • ダウンロード C2
gewfih05[.]top/download.php?file=fusate.exe
gewfec07[.]top/download.php?file=insane.exe
gewuib08[.]top/download.php?file=scrods.exe
gewtuq10[.]top/download.php?file=swaths.exe
kanimx01[.]top/download.php?file=zoster.exe
kanlsu03[.]top/download.php?file=avulse.exe
kanefo04[.]top/download.php?file=diazin.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments