ウェブハードは、韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。ASEC 分析チームでは、ウェブハードを通じて配布されるマルウェアをモニタリングしており、過去にいくつかのブログを通じて情報を共有してきた。
一般的に攻撃者たちは、成人向けゲームや私用ゲームのクラックバージョンのような違法プログラムと共にマルウェアを配布する。このようにウェブハードを配布経路に使用する攻撃者たちは、主に njRAT や UdpRAT、DDoS IRC Bot のような RAT タイプのマルウェアをインストールする。
最近 ASEC 分析チームでは、ウェブハードを通じて XMRig、すなわちモネロコインマイナーを配布する事例が確認されたため、ブログで紹介する。マルウェアが配布された経路を確認した結果、以下のように特定のウェブハードでゲームのインストーラーに偽装してアップロードされた圧縮ファイルを確認した。
実際、当該スレッドについたコメントを見ると、使用中のアンチウイルスプログラム(AntiVirus)によってインストール過程で検知が行われたことにより、すでに内部にマルウェアが含まれている事を認識しているユーザーも多数存在する。
もちろん、これらのファイルをアップロードしたユーザーが実際のマルウェア製作者かどうかは確認できない。このようなゲームのインストールプログラムの特性上、Torrent や特定のウェブハードにおいて最初にアップロードされると、以後他のウェブハードでも同じようにしてアップロードすることが可能なためである。
ダウンロードした圧縮ファイルを解凍すると、以下のようなフォルダーとファイルを確認できる。これに従い、ユーザーはゲームアイコンに偽装した「raksasi.exe」プログラムを実行するだろう。しかし、このファイルは XMRig コインマイナーをインストールするマルウェアであり、実際のゲーム起動プログラムは raksasi_Data フォルダー内の Resources フォルダーに存在する。
このマルウェアは非常にシンプルな構造をしている。まず、「c:\Xcrcure\」パスにモネロマイニングマルウェア(xmrig.exe)、XMRig 設定ファイル(config.json)、XMRig ランチャーマルウェア(MsDtsServer.exe)をダウンロードする。そして、スタートアップフォルダーに XMRig ランチャーマルウェアを実行するショートカットを「NewStartUp.lnk」という名前で生成し、再起動後にモネロが動作するようにする。最後に Resource フォルダーに存在するオリジナルのゲームプログラムを実行し、ユーザーにゲームが正常に起動したように見せかける。
このようなプロセスによってインストールされる XMRig は、以降コンピューターが再起動するたびに同じパスに存在する config.json ファイルを読み込み、マイニングを実行する。以下は json ファイルに存在するマイニングのプールアドレス、および攻撃者のウォレットアドレスである。
– マイニングプールアドレス : gulf.moneroocean[.]stream:10128
– モネロウォレットアドレス : 438wFRXdmiEQfgfhK4XhSMSNaFNd8EdJzPhj5PcXtomEaKcNJuBoZaC32TSdGpnFUxRANRiQdsWxGdvM7bDgLJHZR9FKFSF
このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
AhnLab 製品では、これらのマルウェアを以下の通り検知している。
[ファイル検知]
– Trojan/Win.FY.C5155016 (2022.06.02.02)
– Trojan/Win64.XMR-Miner.R226842 (2019.12.11.01)
– CoinMiner/Text.Config (2022.08.01.02)
– Trojan/Win.Launcher.C5217400 (2022.08.01.02)
[IOC]
MD5
– 35370cd5222ade95f77c8db5e39bcd64 : マイナーインストールマルウェア
– d5d51ebb4ab6dc97d7e5557476526547 : マイナーインストールマルウェア
– c717c47941c150f867ce6a62ed0d2d35 : XMRig
– 2f4650b01f8943f577abad9869429d1a : config.json
– f3227fc9ecc270d49e4b24eedfbdfdf2 : XMRig Launcher
ダウンロードアドレス
– hxxps://scmm.netlify[.]app/xmrig.exe
– hxxps://scmm.netlify[.]app/config.json
– hxxps://scmm.netlify[.]app/MsDtsServer.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報