Posted By ,

ゲームハックを通じてインストールされる XMRig コインマイナー

AhnLab SEcurity intelligence Center(ASEC)は最近、ゲームハックを通じて XMRig コインマイナーが配布されている状況を確認した。このようなプロセスは、過去に紹介したウェブハードプラットフォームを利用して XMRig コインマイナーを配布する方式と類似している。[1] [2]

1. 配布経路

コインマイナーが配布された経路は、有名なゲームのゲームハックを配布するサイトであることが確認され、当該サイトには多数の有名なゲームハックに偽装した圧縮ファイルがアップロードされている。また、ブラウザとアンチウイルスによりダウンロードがブロックされることを防止するため、サイトにブラウザのダウンロードブロックとアンチウイルスを終了させる方法をページ内に明記することで、マルウェアのインストールと実行を誘導している。

図1. ゲームハック配布ページのメイン
図2. ゲームハック配布ダウンロードページ

実際にゲームコミュニティで当該プログラムを探すと、マルウェアが含まれているという事実を認知したユーザーたちのコメントが多数存在する。

図3. ゲームコミュニティ

2. 検知の回避

アップロードされた圧縮ファイルには、コインマイナーをインストールするダウンローダーとアンチウイルスを終了させる目的のマルウェアが圧縮されており、攻撃者は使用マニュアルによってユーザーに直接アンチウイルスを終了させるようにし、さらに被害の事実を認知しにくくしている。

図4. アップロードされた圧縮ファイルの中身
図5. 使用マニュアル

使用されたアンチウイルス終了プログラムは Windows Defender 管理プログラムである dControl.exe であり、これによって Windows Defender の無効化を誘導した。

図6. dControl.exe の実行画面

3. ダウンローダーによってインストールされるコインマイナー

コインマイナーを実行するための準備過程が完了すると、loader.exe によってコインマイナーをダウンロードする。初期ダウンローダーは AutoHotkey で制作されたプログラムであり、「%temp%」フォルダーのパスにコインマイナーをインストールおよび実行する。

図7. ダウンローダースクリプト

実行されたコインマイナーは PowerShell によって「ProgramData」パス .exe 拡張子を Windows Defender がスキャンできないようにし、Windows MSRT(悪意のあるソフトウェアの削除ツール)のアップデートをはじめとして Windows Update に関連するサービス等を削除する。また、hosts ファイルを変更して検知の回避を試みる。

これと同時に %ProgramData%\Google\Chrome パスに updater.exe のファイル名で自己複製し、GoogleUpdateFile のサービス名で登録して持続性を維持する。

  • Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension ‘.exe’ -Force
  • cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart
  • sc.exe stop UsoSvc
  • sc.exe stop WaaSMedicSvc
  • sc.exe stop wuauserv
  • sc.exe stop bits
  • sc.exe stop dosvc
  • sc.exe create “GoogleUpdateFile” binpath=”C:\ProgramData\Google\Chrome\Updater.exe” start=”auto”
図8. 改ざんされた hosts ファイル
  • id : zajpavgygytczlbw
  • wallet : 4824qBU4jPi1LKMjUrkC6qLyWJmnrFRqXU42yZ3tUT67iYgrFTsXbMmiupfC2EXTqDCjHrjtUR8oHVEsdSF2DErrCipV55Z
  • Mining pool : xmr.2miners[.]com:12222
  • cinit-stealth-targets : Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe

4. 結論

このように、ゲームやゲームハックを通じてマルウェアが活発に配布されており、ユーザーの注意が必要である。ゲームハックの場合、実行のために loader.exe のようなダウンローダーをユーザーが定期的に実行させる必要があるという特徴があり、記事で取り上げたコインマイナー以外にも別のマルウェアによる被害が発生する可能性がある。出どころが不明なデータ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。当該タイプのマルウェアは、以下のように AhnLab が検知している。

[ファイル検知]
Downloader/Win.Agent.C5574989 (2024.01.16.03)
CoinMiner/Win.Agent.C5574932 (2024.01.16.02)
HackTool/Win.DefenderControl.R443408 (2021.10.07.03)

[振る舞い検知]
Execution/MDP.Cmd.M4789

[IOC]
MD5
7698fe6bd502a5824ca65b6b40cf6d65 (Loader.exe)
db98d8d6c08965e586103b307f4392fb (Update.exe)
58008524A6473BDF86C1040A9A9E39C3 (dControl.exe)

C&C
hxxps://cdn.discordapp[.]com/attachments/1195976176963948674/1195992986664829008/dupdate.exe?ex=65b60244&is=65a38d44&hm=66ae5a48329d7c237b8bd6d0506d4feb9c1e14281e918d8f2057bd0694a06ad2&

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,,

5 2 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments