マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア

ASEC 分析チームは最近、ClipBanker マルウェアがマルウェアの製作ツールに偽装して拡散していることを確認した。ClipBanker マルウェアは感染システムのクリップボードをモニタリングし、コインウォレットアドレスの文字列がコピーされると攻撃者が指定したウォレットアドレスに変更させる機能を持つマルウェアである。

このようなタイプのマルウェアは過去から配布され続けている。

ClipBanker マルウェアが配布されているのは、以下のように「Russia black hat」というサイトであり、マルウェアの製作ツールを含む様々なハッキング関連プログラムがアップロードされているところである。

[図1] ClipBanker マルウェアの配布に使用されているサイト

すなわち、この攻撃者は他の攻撃者をターゲットにマルウェア製作ツールだけではなく、別のマルウェアを同時に配布しているのである。これによって、これらのツールをインストールした攻撃者はシステムに ClipBanker マルウェアがインストールされる可能性がある。

各マルウェアの製作ツールダウンロードページを確認すると、当該マルウェアに関する説明が書かれており、下にダウンロードリンクが含まれている。アップロードされたマルウェアのスレッドは多数存在するが、ここでは Quasar RAT マルウェア作成ツールを基準とする。このページには Quasar RAT に関する簡単な紹介とともに、ダウンロードリンクが提供されている。

[図2] マルウェア製作ツールのダウンロードページ – 1
[図3] マルウェア製作ツールのダウンロードページ – 2

上記リンクはそれぞれ Mirrored.to、anonfiles、MEGA であり、すべて同じ rar 形式の圧縮ファイルをダウンロードする。

[図4] anonfiles マルウェアのダウンロードページ
[図5] MEGA マルウェアのダウンロードページ

圧縮ファイルを解凍すると WinRAR Sfx で製作された Dropper マルウェアが生成される。Dropper マルウェアは内部に Quasar RAT マルウェア製作ツールとともに ClipBanker が含まれており、実行すると以下のように指定したパスにファイルを生成する。

[図6] Dropper マルウェアの実行画面

圧縮を解凍すると、Dropper は以下のように Quasar RAT ビルダー関連のファイルと crack.exe ファイルを指定したパスに生成する。Quasar RAT ビルダーは「Quasar.exe」であり、以下のように正常に実行されることが確認できる。

[図7] Quasar RAT ビルダーとともに生成された ClipBanker

マルウェア製作ツールでも有料バージョンは一般的な商用プログラムのように認証が必要な場合があるため、公開されたマルウェアのビルダーにはクラックバージョンが多い。(参考に、Quasar RAT はオープンソースであり、クラックは不要)これにより、当該ツールをダウンロードしたユーザーは上記のようにして生成された「crack.exe」ファイルを一般的なクラックツールと考えてしまう。

だが、crack.exe は実際には ClipBanker マルウェアである。Dropper マルウェアは crack.exe を生成した後、最終的にそれを実行して終了するため、ユーザーの意図とは関係なくバックグラウンドで動作する。crack.exe が実行されると、まずスタートアッププログラムフォルダーに自身をコピーして再起動後も実行されるようにし、クリップボードを定期的にモニタリングしながら、ユーザーがコインウォレットアドレスをコピーした場合、すなわちクリップボードにウォレットアドレスが設定された場合、攻撃者のウォレットアドレスに変更する。

一般的にコインウォレットアドレスには一定の形式があるものの、長くランダムな文字列であるために覚えにくく、ユーザーはアドレスを使用するときにコピー&ペーストする方法を利用しているものと思われる。しかし、この過程でウォレットアドレスが変更されると、ユーザーが特定のウォレットに入金しようとする際にそのアドレスが攻撃者のウォレットアドレスに変更され、別のウォレットに入金されてしまう。

ClipBanker はクリップボードを定期的にモニタリングしつつ、文字列がコピーされた場合、以下のような正規表現にマッチするかどうかを判断する。ウォレットアドレス変更対象となるコインは、ビットコイン、イーサリアム、モネロである。

[図8] ウォレットアドレスに対する正規表現

正規表現にマッチすると、ユーザーがコピーしたウォレットアドレスは以下のように攻撃者が指定したウォレットアドレスに変更される。

  • ビットコインのウォレットアドレス : 3JMkKMnoYW1r1vWMrkKmjHmb1tPfZMajcm
  • イーサリアムのウォレットアドレス : 0x9399Caa2df99fb4F17b1D914d842711eBFf3e4F4
  • モネロのウォレットアドレス : 8A9Wt3hrxTG8qXQFjeyNLkF9a9AJPfWWxSc6Fyv4suBe2xqZMGFbhrnMSRysAEYuT7LzpBsTYM4RJ8V2xWghttbNRG4Luiu
[図9] 変更するウォレットアドレスを含む設定データ

参考に、以前取り上げた ClipBanker マルウェアとは異なり、現在の解析対象である ClipBanker は、クリップボードを変更する機能以外にも、更に変更対象となったウォレットアドレスと攻撃者が指定した変更されたウォレットアドレスを C&C サーバーにレポートする機能も含まれている。以下の URL において「Target Address」項目は既存のウォレットアドレスであり、「Changed With」項目がマルウェアが変更したウォレットアドレスである。もちろん、現在解析対象のマルウェアは C&C サーバーを別途指定していないため正常に動作しないが、もし攻撃者が C&C サーバーを別途設定した場合はその結果も確認できるものと思われる。

[図10] 変更したウォレットアドレスおよび変更されたウォレットアドレスのレポート

通常、マルウェアは一般ユーザーをターゲットに配布されるものだが、上記ケースのようにマルウェアを製作して配布する攻撃者をターゲットとする攻撃も確認されている。マルウェアを製作して配布する行為そのものも違法であるが、このようにマルウェア製作ツールをダウンロードして試みるだけでも別のマルウェアに感染するおそれがある。

AhnLab 製品では、これらのマルウェアを以下の通り検知している。

[ファイル検知]
– Dropper/Win.ClipBanker.C5014841 (2022.03.18.00)
– Malware/Win32.RL_Generic.C4356076 (2021.03.03.00)

[IOC]
Dropper MD5
– dbf17f8f9b86b81e0eee7b33e4868002

ClipBanker MD5
– d2092715d71b90721291a1d59f69a8cc

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 3 votes
評価する
guest
1 コメント
Inline Feedbacks
View all comments
trackback

[…] 参考記事(外部リンク):マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア asec.ahnlab.com/jp/32809/ […]