ASEC 分析チームは、8月に RIGHT-TO-LEFT OVERRIDE(以下 RTLO)を利用したファイル名を使用して配布されているマルウェアについてブログに掲載した。RTLO は説明した内容のような、方向性オーバーライドの Unicode である。これを利用したファイル名と拡張子を合わせて、ユーザーの実行を誘導する方式のマルウェアの配布が、現在も続いている。
以前のブログの内容をもとに GitHub で検索して Commits されたブログは11月30日基準で304件照会された。いくつかのアカウントで様々なマルウェアを正常なコードのように登録し、もともと掲載されていたソリューションファイルに偽装したマルウェアファイルのみを新たなマルウェアとしてアップロードして維持しているスレッドも存在した。
[図1] GitHub の sln 偽装ファイル名の検索結果
検知されたマルウェアを当社 ASD インフラを通して確認した結果、RTLO を利用した方式は、ソリューション(.sln)ファイルに偽装しただけではなく圧縮ファイル、テストファイル、動画ファイルなどが存在する。最も多く検知された配布方式は、AV と映画に偽装したファイルで SCR.pm4、scr.vkm、scr.iva などが存在し、ユーティリティプログラムを仮定した exe.rar などのトレントを利用して配布されたことが確認された。
[図2] トレントで配布される rar に偽装したファイル名のマルウェア
ソフトウェア Crack ファイルに偽装したファイル名で配布されるマルウェアは、上記の図のように拡張子が rar のように見えるが、実際の拡張子は exe である。Rar 拡張子のように偽装するため、アイコンも圧縮ファイルと似せて製作したものと見られる。「タイプ」が RAR ファイルではなく、「アプリケーションプログラム」になっているため、詳しく確認しないとこれが実行ファイルであることを認識するのが難しい。マルウェアは、実際の実行ファイル形式の PE ファイルで、マルウェアと圧縮ファイルが含まれている。
マルウェアは正常なプログラムにインジェクションし、追加のマルウェアを受け取って実行されるローダーで、これまでに確認されたマルウェアは Laplas Clipper、Redline Stelaer がある。Redline Stelaer は過去の ASEC ブログを通して照会した情報窃取型マルウェアであり、Laplas Clipper は暗号貨幣のユーザーを対象にしたマルウェアで、クリップボードデータにウォレットアドレスがある場合、これを攻撃者のアドレスに変更するマルウェアである。
[図3] 暗号貨幣ウォレットアドレスの正規式
| Bitcoin (BTC) | (1[1-9A-HJ-NP-Za-km-z]{33}) |
| Bitcoin (BTC) | (3[1-9A-HJ-NP-Za-km-z]{33}) |
| Bitcoin (BTC) | (bc1q[023456789acdefghjklmnpqrstuvwxyz]{38,58}) |
| Bitcoin Cash (BCH) | (q[a-z0-9]{41}) |
| Bitcoin Cash (BCH) | (p[a-z0-9]{41}) |
| Litecoin (LTC) | (L[a-km-zA-HJ-NP-Z1-9]{33}) |
| Litecoin (LTC) | (M[a-km-zA-HJ-NP-Z1-9]{33}) |
| Litecoin (LTC) | (ltc1q[a-km-zA-HJ-NP-Z1-9]{38}) |
| Ethereum (ETH) | (0x[a-fA-F0-9]{40}) |
| Dogecoin (DOGE) | (D[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32}) |
| Monero (XMR) | (4[0-9AB][1-9A-HJ-NP-Za-km-z]{93}) |
| Monero (XMR) | (8[0-9AB][1-9A-HJ-NP-Za-km-z]{93}) |
| Ripple (XRP) | (r[0-9a-zA-Z]{33}) |
| Zcash (ZEC) | (t1[a-km-zA-HJ-NP-Z1-9]{33}) |
| Dash (DASH) | (X[1-9A-HJ-NP-Za-km-z]{33}) |
| Ronin (RON) | (ronin:[a-fA-F0-9]{40}) |
| Tron (TRX) | (T[A-Za-z1-9]{33}) |
| Steam Trade URL | (http[s]*:\/\/steamcommunity.com\/tradeoffer\/new\/\?partner=([0-9]+)&token=([a-zA-Z0-9]+)) |
| Tezos (XTZ) | (tz[1-3][1-9A-HJ-NP-Za-km-z]{33}) |
| Cardano (ADA) | (addr1[a-z0-9]+) |
| Cosmos (ATOM) | (cosmos1[a-z0-9]{38}) |
| Ripple (XRP) | (R[a-zA-Z0-9]{33}) |
| Uncategorized | ([A-Z2-7]{58}) |
| Uncategorized | ([1-9A-HJ-NP-Za-km-z]{44}) |
[表1] 正規式の構文別暗号貨幣ウォレットアドレス
上記のような正規式を受け取り、クリップボードを検査して正規式にマッピングするデータがある際は、この値を攻撃者のアドレスに変更する方式を使用している。正規式は以下の図のホームページを通して受け取っていた。現在もマルウェアの製作者はホームページを運営していることが確認できる。
[図4] Laplas Clipper 運営ホームページ
ユーザーは信頼できないプログラムの使用は注意する必要がある。また、使用しているアンチウイルスソフトのバージョンを常に最新にアップデートして管理する注意が必要とされる。 AhnLab V3 では、これらのマルウェアに対して以下の通り検知している。
[ファイル検知]
- Trojan/Win.RTLO.X2172 (2022.11.29.00)
- Dropper/Win.Agent.C5317732 (2022.11.30.03)
- Trojan/Win.Injection.C5313120 (2022.11.24.03)
- Trojan/Win.Generic.C535472 (2022.11.22.03)
- Trojan/Win.Generic.C5310136 (2022.11.21.01)
- Infostealer/Win.Raccoon.C534410 (2022.11.21.02)
- Infostealer/Win.RedLine.C5155429 (2022.06.03.01)
[IOC 情報]
- 64c3f928790051534889f65f33a6edaf
- 7e7f8d664dc17d08ae3084ec958070fa
- d2cbf6c0a2a55a08aa5fbacad772d63d
- 21f79006cf7560986de8ec8a60998894
- 07abdccbf7b7884f98f962b169ae86c4
- e125eb095b89b5cccc190ff727ae354d
- 79.137.206.137
- 77.73.133.53/AmnesiaBone/LearnMedal.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報