違法なゲームプログラムに偽装して拡散している ChromeLoader

昨年からマルウェアの配布に ISO や VHD のようなディスク画像ファイルを利用する事例が増加し続けており、ASEC ブログでも何度もこれを紹介してきた。今回は VHD ファイルを利用した ChromeLoader の配布状況を捕捉し、これについて紹介する。このタイプの VHD ファイルは、主に任天堂と steam ゲームのハックツールおよびクラックツールと関連したファイル名で拡散している。配布ファイル名のうちの一部は以下の通りであり、有料ソフトウェアのクラック関連のファイルも存在する。

  • 配布ファイル名(関連ゲーム名)
    ELDEN RING Free Download (v1_08_1).vhd (ELDEN RING)
    Dark Souls 3 [FitGirl Repack]_part1_rar.vhd (DARK SOULS3)
    Red Dead Redemption 2 Free Download (v1_0_1436_28).vhd (レッド・デッド・リデンプションII)
    File_ Need for Speed Carbon Collectors Edition____.vhd (ニード・フォー・スピード)
    File_ Minecraft – Story Mode_Complete Season_zi___.vhd (Minecraft)
    [NEW] ROBLOX _ Doors Script _ Hack _ Spawn Enti___.vhd (Roblox)
    The Legend of Zelda_ Breath of the Wild SWITCH ___.vhd (ゼルダの伝説)
    Pokemon Ultra Moon_ Update 1_2 [Decrypted] 3DS ___ (1).vhd (ポケモン)
    Animal-Crossing-New-Horizons-Switch-NSPNSZXCI-U___.vhd (どうぶつの森)
    Mario Kart 8 Deluxe (NSP)(Booster Course DLC)(W___ (2).vhd (マリオカート)
    Super Mario Odyssey Switch NSP+ Update Free Dow___.vhd (スーパーマリオ オデッセイ)
    Microsoft Office 2010 Free Download.vhd
    Adobe Photoshop 2023 Free Download.vhd

関連ファイル名で Google 検索結果、ゲームハックおよびクラックプログラムなどの違法なプログラムを配布するサイトが最上位に多数見られることが確認できた。このサイトでは違法プログラムのダウンロードを試みると、不正な広告サイトが多数表示される。この時、特定の広告サイトから VHD ファイルをダウンロードしたものと推定され、現在は正常なプログラム(7zip installer)がダウンロードされる。

Google 検索結果
不正な広告サイト

もしこのプロセスを通して VHD ファイルをダウンロードすると、ユーザーは不正な VHD ファイルを、ゲーム関連のプログラムと誤ってしまう可能性が高まる。不正な VHD 内部ファイルは以下の通りであり、Install.lnk ファイル以外にもすべて隠し属性が付与されており、一般ユーザーは Install.lnk ファイルのみが表示される。

VHD 内部ファイル

Install.lnk は properties.bat ファイルを実行し、properties.bat は tar コマンドを通して files.zip ファイルを「%AppData%」パスに解凍する。files.zip ファイルは node-webkit(nw.js)関連の正常なファイルと不正な js ファイルが含まれている。node-webkit とは、Chromium と Node を活用した Web アプリケーションであり、nw.exe を通して実行することができ、package.json ファイルに明示された情報を参照する。この特徴を利用して node-webkit が以降のプロセスで利用される。

propertes.bat
files.zip 内部ファイル

その後 properties.bat は data.ini ファイルと解凍後に生成された videos.exe ファイルを実行する。まず、data.ini は VBScript コマンドで「%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\」パスに videos.exe を実行するショートカットを生成する。

data.ini

videos.exe ファイルは nw.exe が内蔵された形で package.json ファイルを参照し、main 属性に与えられたスクリプトが動作する。main 属性に与えられたスクリプトは start.html ファイルであり、難読化された形態の不正な JS を含んでいる。

package.json

最終的に、videos.exe ファイルは start.html に存在する不正な JS を実行し、以下のアドレスに接続して ChromeLoader ダウンロードを試みる。現在は接続することができず、ChromeLoader は Chrome 拡張プログラムを通して不正な振る舞いを行うアドウェアタイプのマルウェアである。ChromeLoader によって生成および実行される不正な拡張プログラムは、ハイジャックを通して広告サイトにリダイレクションおよびユーザーの検索データを収集し、ブラウザの資格証明の収集、ブラウザの設定修正などの様々な機能を実行することができる。

  • irymountain.com[.]ua
  • lesexwrecko[.]xyz
  • alnormatic[.]xyz

最近、デスク画像ファイルを利用したマルウェアが増加しており、ゲームハックおよびクラックプログラムに偽装したマルウェアの形態は多数の攻撃者が使用する方式である。ユーザーは不明なパスからダウンロードしたファイルを実行する際、特に注意する必要があり、必ず公式 HP からダウンロードしなければならない。現在 V3 ではこのマルウェアを以下のように検知している。

[ファイル検知]
Trojan/BAT.Runner.S2119 (2023.02.13.03)
Trojan/VBS.Runner.S2120 (2023.02.13.03)
Dropper/VHD.Agent (2023.02.16.00)
Trojan/HTML.Obfus (2023.02.16.00)

[IOC]
bdcb5c80a664d82a28469f9fce0fbb12
ae8ae62aa04f06d32c548c2ef493a39f
82024e7af52481e71760c9d119eb903f
3515115d7efa1ac42bd56bc9348cd4f8
irymountain.com[.]ua
lesexwrecko[.]xyz
alnormatic[.]xyz

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

5 1 vote
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments