ASEC 分析チームは、新種のマルウェアと推定される ColdStealer が拡散していることを確認した。この拡散は、過去のブログで何度か取り上げた crack およびツール等のソフトウェアのダウンロードに偽装した方式である。
このような方式のマルウェア配布には二つのケースが存在するが、
1. CryptBot、RedLine 等の単体のマルウェアを配布するケースと、
2. 内部の様々な種類のマルウェアが圧縮を解凍することで実行される Dropper 型マルウェアがある。
ColdStealer の場合、後者の方式によって配布された。このようなマルウェアの拡散ケースは、以下のブログを参考にしてほしい。
Dropper マルウェアの内部にダウンローダーマルウェアが存在し、そのダウンローダーマルウェアが実行されると C2 から ColdStealer マルウェアをダウンロードする。このプロセスを図に示すと、以下の通りである。
ColdStealer は複数階層によってパックされている構造を持っている。現在は .NET 難読化方式のパック手法を使っているが、初期ではプロセスハロウイングや .NET ロード方式のパックを使用し、ビルドされたオリジナルのままの ColdStealer を確保できた。
ColdStealer はその名前からも分かるように情報窃取タイプのマルウェアであり、複数のユーザー情報を収集して C2 に転送する機能を持つ、シンプルなマルウェアである。.NET で構成されており、機能がシンプルなため実際のマルウェアの容量は 80KB ほどに過ぎない。オリジナルのソースがビルドされたものと推定されるサンプルのネームスペースが「ColdStealer」だったためにこの名前が付けられた。
窃取対象の情報を収集する時は、ファイル形式ではなくメモリ上に ZIP 構造で保存するが、このような機能を実現するために GitHub に公開されたソースコードを使用した。情報収集を終えて C2 に転送する際は、当該メモリストリームを転送する。このような方式を使用するとファイルの痕跡が残らず、関連する検知を回避することができ、結果的に実行の痕跡を残さないといったことが可能になる。
このマルウェアの機能は大きく分けて6つある。
- ブラウザ情報の窃取
- 暗号通貨ウォレット情報の窃取
- ファイルの窃取
- FTP サーバー情報の窃取
- システム情報の窃取
- 例外(エラー)情報の転送
- ブラウザ情報の窃取
窃取の対象となるブラウザは Chromium ベースの複数のブラウザと、Opera、FireFox である。Chromium ベースのブラウザのうち、窃取の対象となるブラウザのリストは以下の通りである。
| Battle.net, Chromium, Google Chrome, Google Chrome (x86), MapleStudio ChromePlus, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements, Epic, uCozMedia Uran, Sleipnir5, Citrio, Coowon, Liebao, QIP Surf, Orbitum, Comodo Dragon, Amigo, Torch, Yandex Browser, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Atom, BraveSoftware, Microsoft Edge, Nvidia, Steam, CryptoTab |
最新バージョンのブラウザまでサポートできるようにコードが構成されている。ブラウザに保存された ID と PW、Cookie、Web データファイルを収集して拡張プログラムを照会し、リストに存在する拡張プログラムファイルも収集対象となる。このリストは、仮想通貨ウォレットまたはユーザー認証に関連する機密なプログラムと確認されている。
| Metamask, YoroiWallet, Tronlink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet, PhantomWallet, Arweave, Auro, Celo, Clover, Coin98, Crypto.com, Cyano, Cyano PRO, Dune, Fractal, Gero, Harmony, Hiro, Iconex, Kardia Chain, Keplr, KHC, Lamden, Liquality, Maiar, Mew CEX, Mobox, NeoLine, Nami, Oasis, Polymesh, Rabby, Solflare, Sollet, Solong, Temple, Terra Station, TezBox, Theta, XDeFi, ZebeDee, Authenticator CC |
ブラウザ情報はファイル全体を窃取するのではなく、マルウェアの内部で当該ファイルに対する構文解析を行ったあと、必要な情報だけを転送するように構成されている。しかし、このプロセスで Unicode エンコードを考慮しないため、システム言語が韓国語環境の Windows ではブラウザ関連情報が入ったファイル(SQLite フォーマット)を構文解析する際にエラーが発生する。
構文解析に成功すると、ブラウザ接続記録は「Domain.txt」ファイルに、アカウントおよびパスワードは「Passwords.txt」ファイルにそれぞれ分けて保存される。
- ファイルの窃取
ファイル収集は、デスクトップ画面とユーザーアカウントディレクトリの下位に存在するファイルを対象とする。「wallet」の文字列を含んでいるか、.txt、.dat 拡張子のファイルをすべて収集する。
- FTP サーバー情報の窃取
代表的な FTP プログラムである FileZilla に保存されたサーバーとパスワードのリストを収集する。
- システム情報の窃取
Windows バージョン、使用言語、CPU の種類、クリップボードデータ、実行権限等、様々なシステム情報を収集する。
- 暗号通貨ウォレット情報の窃取
Roaming ディレクトリ、Local ディレクトリ、レジストリ等に保存されるウォレットプログラム情報を収集する。
| ZCash, Armory, Bytecoin, JaxxClassic, JaxxLiberty, Exodus, Ethereum, Electrum, Electrum-LTC, Electrum-BCH, Atomic, Guarda, Wasabi, Daedalus, Coinomi, Litecoin,, Dash,, Bitcoin, monero-core, Binance |
- エラー情報の収集および転送
プログラムの実行中に発生したすべてのエラー(例外)情報を記録して転送する。システム言語が韓国語の環境での SQLite 構文解析エラーも記録されて転送されるため、すぐにパッチが適用されたバージョンが出回る可能性がある。
上記のような情報収集プロセスが完了すると、収集された情報をすべて C2 に転送する。転送 URL、すなわち C2 アドレスは、特定の位置にハードコーディングされている。HTTP POST メソッドを使用する。
このように ColdStealer は非常にシンプルな形式の情報窃取型マルウェアだが、感染するとユーザーの主要な情報が攻撃者に流出し、深刻な2次被害が発生する恐れがあるため、注意が必要である。
以下は、ColdStealer に関連する IOC 情報である。
[IOC 情報]
Downloader
1578ad8f244ae82c36e3feadeb7d66e3
8f021266830397dac3e34f1b3bdde60c
05c97434f3c6970103a3ceda97572481
529951790a4a6da8743af98a24c4088e
a141acc27f79584575a7d2af634be917
8550ebb8f4f5b377df3a3492dbc08f63
511b48b4471e8ab08a4ec6495157f62a
0b3b4b02ed9d4844ec53a3f2a7064432
8e0486fb2291090d4411f58aa030dd23
90f31a31dee14f1efc80e7f121a44763
e23b0bab2ebcff10bc39f95cb92e6d9f
28f7a338c703cf695e776108a7dc3f00
5ccb4a79accca8b6fdc364042705b1a9
7789b3c473654e3251b102083d49128a
50920220980a2c188fb88ba770a72ded
452aeffb5c3c564988b0b7686a1433e9
2ef96ecfe9a2d05bfc24a936a97e66f1
fb0dcc61efe76eccef9b7fa20514a1b9
ac34f72d560a282b919da74e2f5ef8e1
3144517e723720c79c5f975a629cd2d7
f1006f3968f9edf76090e34702e647e6
03c3f6369b934cf86576c394e9172359
ColdStealer
758f815f3775e1b063eba3ab33479a9f
0d34d8571c6998796a2edb212a8037f5
6953629af9858647b65c47ae738334db
f94e8d62921d078c58860ffc2374a357
50f2b28aba4d4cb47544bcc98980a63e
9ec150a4c04da6a1087a3cd36086fde3
79a9f2ae5af2b370eea6c7fc6681e3ef
3b94bf347edcc8f137741989de3eb882
485edc4695212c4e97cf2e841661151c
a48f8e50e74b3792eeaffc6d25ca0080
dc2cbd65ca5411b8a9326338c74c7758
940d63f67b70b37e7ee662b851ae389b
05748b4e8730bb2a705fe1e2e00c5d77
8f0f4e736d83e296b55802c2337f341b
01144efd1dc06a0b9d3ea8a1e632dc26
cd9ba1e78dab227e2fda2cf952adcab4
C2
hxxp://jordanserver232[.]com
hxxp://realacademicmediausa[.]com
hxxp://topexpertshop[.]com
hxxp://realmoneycreate[.]xyz
hxxp://thehomenow[.]xyz
hxxp://real-enter-solutions[.]xyz
hxxp://enter-me[.]xyz
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報