RecordBreaker Stealer はクラックおよびシリアルなどの違法プログラムダウンロードに偽装して配布される代表的なマルウェアであり、去年初めて登場してから一般のユーザーを対象に活発に配布されている。Raccoon Stealer V2 とも呼ばれ、Web サイト、YouTube など、様々なチャンネルを通じて配布されている。
同じ方式で活発に配布されていた CryptBot が今年の2月以降、完全に姿を消し、時折 Vidar マルウェアが確認されたりもするが、大半は RecordBreaker が配布されている。
最近配布されたサンプルのうち、マルウェアのバージョン情報と認証書を韓国国内のソフトウェア企業の製品に偽装しているサンプルが発見されたため、簡単に紹介する。
過去にも様々な有名ソフトウェアのバージョン情報と認証書を盗用していたが、韓国国内企業を対象にハングルのバージョン情報を使用したことは異例である。それだけでなく、攻撃者はマルウェアを正常なファイルに見せかけるため、圧縮ファイルの内部にその企業が配布している正常なライブラリファイルを多数含ませている。
4月27日の夕方から5月1日までに配布されたサンプルのうち、その企業に偽装したサンプルは6種が発見された。使用されたバージョン情報は2つ、盗用した認証書は1つである。(*攻撃者が商用プログラムのバージョン情報と認証書を盗用したものであり、マルウェアの配布に企業は関連ない)
図1. マルウェアのバージョン情報
図2.マルウェアの認証書情報
このサンプルの配布および感染プロセスは以下の通りである。
図3.マルウェア配布元の例
図4. 配布元からダウンロードされたファイル
ユーザーはクラックやシリアルなどの違法認証ツールをダウンロードする目的で配布元にアクセスし、「PassKey_55551-CompleteFileT1.rar」ファイルを配布元からダウンロードする。この圧縮ファイルの内部には暗号圧縮ファイルの「FullSetup.rar」と、暗号が記載された「Read.me.txt」ファイルがある。
図5. 圧縮ファイルの内部
図6. テキストファイルの内容
暗号圧縮ファイルの内部にはマルウェアが存在しており、暗号はテキストファイルやファイル名に記載されている。暗号圧縮を解凍すると、偽装対象企業の正常なファイルが存在するフォルダとマルウェアの実行ファイルが生成される。
図7. 正常なファイルが存在するフォルダとマルウェアの実行ファイル
図8. 正常なファイル
最近配布されているサンプルは、すべてファイルサイズを異常に大きくした形態である。実際のマルウェアのサイズは小さいが、不要なデータを挿入して約 1.2GB のサイズになっている。以前は 300MB 程度で配布されていたが、配布されるファイルのサイズは徐々に大きくなっている。最近は 2GB を超えるサンプルも収集されている。
図9. マルウェア情報
マルウェアが実行されると、ユーザー PC に保存されている重要な情報が収集されて C2 に送信される。また、C2 の応答によって特定のアドレスからマルウェアをダウンロードしてインストールすることができる。
この期間中には ClipBanker マルウェアをインストールするように応答しており、タスクスケジューラに登録することでシステムに常駐し、クリップボードにコピーされた仮想通貨ウォレットアドレスを、攻撃者のウォレットアドレスに変更している。
ダウンロード URL: hxxp://167.99.47[.]96/S5Y8F9I3F1Q2J6B/37836632498586869767.bin
ClipBanker MD5: 51967006b0c9cab093abcd8d920d271f
図10. ClipBanker タスクスケジューラに登録
攻撃者はユーザーを欺くために様々な試みを行っているため、注意する必要がある。ASEC(AhnLab Security Emergency response Center)では、本記事の方式で配布されているマルウェアを発生と同時に自動収集し、リアルタイムで解析および検知しており、関連情報は AhnLab TIP の Live C&C サービスで確認できる。
図11. Ahnlab TIP Live C&C
[IOC]
検知名
Infostealer/Win.RecordStealer.C5421253(2023.05.02.02)
Infostealer/Win.RecordStealer.R576180(2023.05.03.00)
Infostealer/Win.RecordStealer.C5421258(2023.05.02.02)
Trojan/Win.ClipBanker.R528972(2022.10.13.03)
MD5
-RecordBreaker Stealer
1c057fd80041bcacd09bb26ae5139570
2171d9ab9b1e6b377b498f028da895fb
2f73e418af5f3700358a8e0d7ce96718
72841262c11d15b3913684253ac34161
995459fea54ef72330251430f43e11ef
faf196f338a72d3e49eb898e3e2929a3
-ClipBanker
51967006b0c9cab093abcd8d920d271f
C2
hxxp://193.233.232[.]250
hxxp://212.113.106[.]9
hxxp://94.142.138[.]176
hxxp://94.142.138[.]175
hxxp://167.99.47[.]96/S5Y8F9I3F1Q2J6B/37836632498586869767.bin
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報