Autoit を使用した Zephyr コインマイナーマルウェアの配布
AhnLab SEcurity intelligence Center(ASEC)は、最近 Zephyr コインマイナーが配布されていることを確認した。このファイルは、Autoit で製作されており、コインマイナーが含まれた圧縮ファイルの形式で配布されている。
ファイルは、「WINDOWS_PY_M3U_EXPLOIT_2024.7z」の名前で配布されており、圧縮ファイルを解凍すると様々なスクリプトと実行ファイルが作成される。その中で「ComboIptvExploit.exe」ファイルは、NSIS(Nullsoft Scriptable Install System)インストーラーであり、内部には2つの JavaScript ファイルが存在する。
図1. WINDOWS_PY_M3U_EXPLOIT_2024.7z 解凍
このファイルを実行すると、%temp% パスに「Explorer.js」、「internet.js」ファイルを作成し、2つの JavaScript ファイルは wscript.exe を通して実行される。
図2.Temp パスに作成されるスクリプト
図3.wscript.exe 実行
2つの JavaScript ファイルの内「internet.js」ファイルは、内部に BASE64 でエンコードされた文字列をデコードし、実行ファイルを作成する。この実行ファイルは %temp% パスに「x.exe」の名前で作成され、Autoit で作成されたプログラムである。
コンパイルされた Autoit スクリプトファイルには、圧縮ファイルの「asacpiex.dll」と正常な「7za.exe」である「CL_Debug_Log.txt」、2つのファイルが含まれている。「JDQJndnqwdnqw2139dn21n3b312idDQDB」をパスワードで送信した後、解凍すると、コンパイルされた Autoit スクリプトファイルの「64.exe」、「32.exe」、2つのファイルを %temp% パスに作成する。システムの CPU アーキテクチャが x86 の場合は「32.exe」を、x64 の場合には「x64」を「%USER%\AppData\Roaming\Microsoft\Windows\Helper.exe」にコピーする。CL_Debug_Log.txt e -p"JDQJndnqwdnqw2139dn21n3b312idDQDB" &"&@TEMPDIR&\CR_Debug_Log.txt&"& -o&"&@TEMPDIR&\ GLOBAL $CRYPT= -a rx/0
GLOBAL $STRAT_=ssl
GLOBAL $POOL=zeph.kryptex.network:8888
GLOBAL $WALLET=ZEPHsAgR4UTMCufABEmp7CDehfzontt85VKaQogms5zVc9iwV896o9ZR2XcbuCzwaSGYDmMUTjPJUVoLUE9a5feJKRgjtsvAndw/IPTV
図4.マイニングプールのウォレットアドレス出金照会
マルウェアの全体的な実行フローは以下の図の通りである。
図5.マルウェア実行フロー図
ユーザーは、出どころが不明なファイルのダウンロードと実行に注意を払う必要があり、使用しているアンチウィルスを最新バージョンでアップデートしなければならない。
V3 では、下記のように検知しており、IOC は以下の通りである。
図6.V3 検知情報
[ファイル検知]
CoinMiner/Win.Agent.R631683 (2024.01.18.00)
Trojan/Win.Wacatac.C5571541 (2024.01.08.00)
CoinMiner/Win.Zephyr.C5575600 (2024.01.17.03)
[振る舞い検知]
[IOC 情報]
MD5
1ea56f7d135c6d9394138b91b3b7bed2
2b7931a70748c38c8046dea9dc708379
6647cd9d0ab63506c230fbce8019d0b8
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
