最近 ASEC(AhnLab Security Emergency response Center)では、スパムメールを通じて DarkCloud マルウェアが配布されていることを確認した。DarkCloud は感染システムに保存されているユーザーのアカウント情報を窃取するインフォスティーラーマルウェアで、攻撃者は DarkCloud 以外にも ClipBanker マルウェアを一緒にインストールしていた。
1. 拡散方式
攻撃者は以下のようなメールを送信し、ユーザーが添付ファイルをダウンロードして実行するように誘導していた。
このメールは、会社のアカウントで支払われた支払いコピーを確認するように添付ファイルに誘導する内容である。さらに、添付ファイルの圧縮を解凍すると PDF アイコンに偽装しているため、一般のユーザーはこのようなメールを受信した時、ドキュメントファイルであると認知してマルウェアを実行する可能性がある。
メールに添付されたファイルは Dropper マルウェアであり、DarkCloud と ClipBanker を生成して実行する役割を担っている。すなわち、ユーザーがこのメールの添付ファイルをダウンロードした後、圧縮ファイルを解凍して実行すると、感染システムに存在する様々なユーザーのアカウント情報が窃取される。そして、仮想通貨のウォレットアドレスをコピーしてクリップボードに保存する場合、強制的に攻撃者のアドレスに変更されるため、取引時に攻撃者のウォレットアドレスに送信してしまう恐れがある。
2. マルウェア添付ファイル
メールに添付されている実行ファイルは Dropper マルウェアであり、先に %APPDATA%\Zwldpcobpfq\Gdktpnpm.exe パスに自身をコピーして Run キーに登録することで、再起動後にも動作するようにしている。その後、%TEMP% パスに2つのマルウェアをそれぞれ生成して実行する。
2.1. ClipBanker
一番最初に生成および実行されるマルウェアである「Lilgghom.exe」は ClipBanker である。ClipBanker は感染システムに常駐しながら、ユーザーがビットコイン、またはイーサリアム仮想通貨のウォレットアドレスをコピーする際に、攻撃者のウォレットアドレスに変更する。一般的にコインウォレットアドレスには一定の形式があるものの、長くランダムな文字列であるために覚えにくく、ユーザーはアドレスを使用するときにコピー&ペーストする方法を利用しているものと思われる。しかし、この過程でウォレットアドレスが変更されると、ユーザーが特定のウォレットに入金しようとする際にそのアドレスが攻撃者のウォレットアドレスに変更され、別のウォレットに入金されてしまう。
攻撃に使用された ClipBanker は「Get Cliboard Address.exe」という名前で制作されたもので、クリップボードをモニタリングしながら以下のような正規表現式にマッチする時に、攻撃者が指定したウォレットアドレスに変更する。
- ビットコイン : “(?<!\w)[a-zA-Z0-9]{34}(?!\w)”
- イーサリアム : “(?<!\w)0x[a-zA-Z0-9]{40}(?!\w)”
- モネロ : “(?<!\w)[a-zA-Z0-9]{95}(?!\w)”
「Get Cliboard Address.exe」は設定によって様々な機能をサポートしている。
| 設定 | 説明 | データ |
|---|---|---|
| B | 変更するビットコインのウォレットアドレス | bc1q462me7gxcwh0xgsja7x808a9zgr6vjmx7rt9km |
| E | 変更するイーサリアムのウォレットアドレス | 0x006Cb3C0469040e84f2D12a8aec59c34CE00aa31 |
| X | 変更するモネロのウォレットアドレス | N/A |
| Startup | スタートアップフォルダーにコピー | True |
| REG | Run キーの登録 | False |
| SHORTCUT | スタートアップフォルダーにショートカットを生成 | False |
2.2. DarkCloud
次に生成および実行されるマルウェアである「Ckpomlg.exe」はインフォスティーラーで、感染システムに保存されている様々なユーザー情報を収集して窃取する機能を担っている。このマルウェアは最近配布されているマルウェアとは異なり、VB6 言語で開発された点が特徴である。
DarkCloud は一般的なインフォスティーラーマルウェアのように Web ブラウザおよび FTP、電子メールクライアントに保存されているユーザーのアカウント情報を窃取する。また、収集した情報を C&C サーバーに送信する際に、SMTP や Telegram API と同じ方式を使用するという点でも AgentTesla、SnakeKeylogger のような他のインフォスティーラーと類似している。
このブログで解析している DarkCloud は、攻撃者の SMTP アカウント情報が変更されたため、ログインが不可能である。しかし、過去に同じく電子メールアカウントを使用した AgentTesla マルウェアが一緒に確認されたことから、攻撃者は DarkCloud の他に AgentTesla インフォスティーラーもスパムメール攻撃キャンペーンに使用したと推定できる。
- Host : logxtai[.]shop
- User : sender-a3@logxtai[.]shop
- Password : f9;2H%A)IpgE
- Receiver : ambulancelog@logxtai[.]shop
DarkCloud はアカウント情報を収集する時に必要な「vbsqlite3.dll」をリソースセクションに持っており、実行中に「%PUBLIC%\Libraries」パスに生成してロードする。
情報窃取の対象は Chromium、Firefox ベースの Web ブラウザと Outlook および ThunderBird、FoxMail のような電子メールクライアント、そして CoreFTP、WinSCP のような FTP クライアントプログラムに保存されているアカウント情報である。もちろん、それ以外にも Web ブラウザに保存されているクレジットカードの情報など、様々なユーザー情報が窃取される可能性がある。
窃取した情報は「%PUBLIC%\Libraries」パスに生成したフォルダーに保存されるが、以下のように窃取した情報からシグネチャ文字列の「DARKCLOUD」が確認できる。
現在解析している DarkCloud は、収集した情報を窃取する時に SMTP プロトコルの以外にも Telegram API を一緒に利用することが特徴である。
3. 結論
ユーザーは内容が不明なメールの添付ファイルや、Web ページからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
そして OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Trojan/Win.Generic.C5416010 (2023.04.21.01)
– Trojan/Win.Generic.R578585 (2023.05.16.02)
– Malware/Win32.RL_Generic.C4250411 (2020.12.04.01)
ビヘイビア検知
– Infostealer/MDP.Behavior.M1965
IOC
MD5
– 991a8bd00693269536d91b4797b7b42b : Dropper (Booking_3798637712pdf.exe)
– 7c4f98ca98139d4519dc1975069b1e9f : DarkCloud (Ckpomlg.exe)
– 9441cdbed94f0fd5b20999d8e2424ce4 : ClipBanker (Lilgghom.exe)
C&C アドレス
– hxxps://api.telegram[.]org/bot5520455072:AAHt-MFGFCUL3S_w3BTtc7meWUZSJFJduq0/sendMessage
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報