Youtube を通じて拡散している情報窃取型マルウェア

ASEC 分析チームは最近、情報窃取型マルウェアが Youtube を通じて拡散していることを確認した。攻撃者は、ゲーム「VALORANT」のハックを装って以下のような動画をアップロードしており、以下のアンチウイルスを無効化してからインストールするようにとの説明と共に、マルウェアのダウンロードリンクを挿入している。

Youtube を経路として使用し、ゲームハックやクラックに偽装して拡散する事例は、過去にも以下のような ASEC ブログにおいて取り扱った経緯がある。

ユーザーが VALORANT のゲームハックプログラムをダウンロードするために当該リンクをクリックすると、以下のようなダウンロードページが確認できる。

• ダウンロードページのアドレス : hxxps://anonfiles[.]com/J0b03cKexf
• ファイルダウンロードアドレス : hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar

ダウンロードされた「Pluto Valornt cheat.rar」圧縮ファイルには「Cheat installer.exe」という実行ファイルが含まれているが、名前はゲームハックを装っているものの、実際には情報窃取型マルウェアである。

このマルウェアが実行されると、感染したシステムの基本情報を含むスクリーンショット、Web ブラウザおよび VPN クライアントプログラムに保存されているユーザーアカウント情報、仮想通貨ウォレットファイル、さらには Discord トークンおよび Telegram のセッションファイルのような、様々なユーザー情報を収集する。以下は窃取対象リストを整理した一覧である。

1. 基本情報
– コンピューター名、ユーザー名、IP アドレス、Windows バージョン、システム情報(CPU、GPU、RAM 等)、プロセスリスト

2. Web ブラウザ
2.1. 対象となる Web ブラウザの一覧
– Chrome、Edge、Firefox
2.2. 窃取情報
– パスワード、クレジットカード番号、オートフィルフォーム(AutoFill)、ブックマーク、Cookie

3. 仮想通貨ウォレットファイル
– Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx

4. VPN クライアントのアカウント情報
4.1. 対象となる VPN クライアントの一覧
– ProtonVPN, OpenVPN, NordVPN
4.2. 窃取情報
– アカウント情報

5. その他
5.1. FileZilla
– ホストアドレス、ポート番号、ユーザー名、パスワード
5.2. Minecraft VimeWorld
– アカウント情報、レベル、ランキング等
5.3. Steam
– クライアントのセッション情報
5.4. Telegram
– クライアントのセッション情報
5.5. Discord
– トークン情報

攻撃者は、上記で窃取した情報をファイルの形態で生成したあと、圧縮して Discord WebHooks API を通じて攻撃者に伝達する。

WebHook API を利用すれば特定の Discord サーバーにデータとともに通知を伝達することができる。すなわち、マルウェアは以下のような WebHook URL を通じて窃取した情報が含まれた圧縮ファイルを添付して POST をリクエストし、攻撃者は Discord サーバーから通知とともに窃取した情報を受け取ることができる。参考に、マルウェアが使用する攻撃者の WebHooks URL は以下のような2つが使われている。

• WebHook URL : hxxps://discordapp[.]com/api/webhooks/947181971019292714/gXE5T4ZQQF0yGOhuBSDhTkFXB0ut9ai71IZmOFvsdIaznalhyvQP0h45xCss-8W7KQCo
  UserAgent : log
  UserName : log
• WebHook URL : hxxps://discord[.]com/api/webhooks/940299131098890301/RU4T0D4gNAYM0BZkAMMKQRwGBORfHiJUJ5lJ20Gd-s2yCIX9lXCbyB6yZ6zHUA5B-H42
  UserAgent : logloglog91
  UserName : logloglog91

Discord の WebHook API を利用して情報を窃取した事例は、過去の ASEC ブログでも紹介したことがある。

• [ASEC]Discord を利用した違法ポルノに偽装したインフォスティーラー型マルウェアの拡散

このように、様々なプラットフォームを通じてマルウェアがインストールされる恐れがあるため、違法プログラムをダウンロードする行為は控えなければならない。また、正規版のソフトウェアを使用することを日頃から心がけ、疑わしい Web サイトや P2P は利用しないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

[ファイル検知]
– Malware/Win.AY.C4396023 (2021.03.29.01)

[IOC]
ファイル MD5
– 6649fec7c656c6ab0ae0a27daf3ebb8e

マルウェアのダウンロード
– ダウンロードページ : hxxps://anonfiles[.]com/J0b03cKexf
– 不正な圧縮ファイルのダウンロードアドレス : hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar

Discord WebHooks URL
– hxxps://discordapp[.]com/api/webhooks/947181971019292714/gXE5T4ZQQF0yGOhuBSDhTkFXB0ut9ai71IZmOFvsdIaznalhyvQP0h45xCss-8W7KQCo
– hxxps://discord[.]com/api/webhooks/940299131098890301/RU4T0D4gNAYM0BZkAMMKQRwGBORfHiJUJ5lJ20Gd-s2yCIX9lXCbyB6yZ6zHUA5B-H42

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。