ASEC
  • マルウェアの情報
  • AhnLab 検知
  • 総計
  • 対応ガイド
  • AhnLab
Posted By ATCP , 2024년 03월 21일

インストーラーに偽装した情報窃取型マルウェアに注意

インストーラー(Installer)に偽装した StealC マルウェアが大量配布中である。

Discord、GitHub、Dropbox などからダウンロードされることが確認されたが、これまでと似た方式の配布事例であることから、特定プログラムのダウンロードページに偽装した不正なページからいくつかのリダイレクトを経てダウンロード URL につながるものと推定される。

StealC マルウェアは、情報窃取型マルウェアで、システム情報、ブラウザ、仮想通貨ウォレット、Discord、Telegram、メールクライアントなど、様々な重要情報を窃取する。

図1. Github にアップロードされているマルウェア

使用されたマルウェアや動作手法などは既存のクラックに偽装して配布されるマルウェアと類似しているが、配布元は違うことが確認された。クラック偽装マルウェアの配布プロセスは、本ブログで何度か紹介しており、以下のリンクを参考にすればよい。

  • 正常な EXE ファイル実行時に感染される情報窃取マルウェアに注意(DLL Hijacking)
  • ソフトウェアのダウンロードに偽装し、様々な種類のマルウェアを配布

今回の配布は、異例的に短い時間の間、非常に多くのユーザーが当該ファイルをダウンロードした。韓国国内でも有名なプログラムに偽装した可能性が高い。

以下の2種類のサンプルの配布数量が最も多く、現在も配布されている。それぞれ「setup_2024.008.20534_win64_86.exe」、「Setup_21.4_win64_86」のファイル名を持つ。ファイル名を変更する場合、不正な振る舞いが発現せず、これはサンドボックスなどの解析環境を回避する意図である。

図2. StealC マルウェアのサンプルアイコン

マルウェアを実行すると、イメージホスティングサイトから PNG ファイルをダウンロードする。この PNG ファイルは、イメージデータの中間部分にエンコードされた不正なデータが挿入された構造である。マルウェアのサンプルごとに3つずつ異なるサイトアドレスを持っており、各サイトからダウンロードされるファイルは同じであった。

図3. 不正な PNG ファイル

PNG ファイルの内部データをデコードする場合、不正な振る舞いに必要なシェルコードおよびファイルバイナリが生成される。このシェルコードが実行されると、ファイル生成、実行、複数のインジェクションプロセスを経て、最終的に StealC 情報窃取型マルウェアが実行される。

このプロセスで、SysWOW64 下位の正常なプロセス(netsh.exe、more.com)、Temp パスに生成された正常な AutoIt プロセス(WinAPIHObj.au3、DllCall.au3)が実行され、StealC マルウェアは AutoIt プロセスにインジェクションされて実行される。実行プロセスツリーは以下の通りである。

図4. StealC 実行プロセスツリー

インジェクション時、ntdll 手動マッピング手法と Heaven’s Gate 手法を使用する。前者は ntdll.dll を手動でロードして内部関数を実行する方式であり、後者は Wow64 プロセスで x64 コマンドを実行する手法である。両者ともにセキュリティ製品の回避および解析妨害のための手法である。

図5. Heaven’s Gate コード

このような振る舞い的特徴は、数週間前に発生したクラック偽装配布マルウェアと同じである。当時配布されたサンプルは、Vidar 情報窃取型マルウェアであり、本サンプルと同様にインストーラーを偽装し、ファイル名チェック、PNG ファイルダウンロード、正常なプロセス生成およびインジェクション、ntdll 手動マッピング手法と Heaven’s Gate 手法を使用する。PNG ファイルのダウンロードに活用されたイメージホスティングサイトも同じである。

図6. Vidar マルウェアのサンプルアイコン
図7. Vidar 実行プロセスツリー

当時は Windows 11 に基本的に含まれている当該 OS 環境でのみ実行可能な正常なファイル(imewdbld.exe)を生成後、インジェクションした。そのため、Win11 環境のみ攻撃対象であったが、最近配布された StealC サンプルは、以前のバージョンの OS 環境でも正常に動作する。

Vidar マルウェアもまた情報窃取型マルウェアであり、Steam、Telegram などのプラットフォームのアカウントページに接続し、C2 アドレスを獲得する特徴がある。そのため、持続的に C2 が変更されることがある。

図8. Vidar マルウェアの C2 ページ

また、3月14日、午前5時頃に配布されたクラック偽装マルウェアの中には、本文の StealC サンプルと同じ C2 を持つサンプルが存在した。動作方式が同一な違うマルウェア、動作方式は異なるが同じ C2 を持つマルウェアが継続的に発生して配布されている。

いずれも同じ攻撃者であるか、意味のある関係にあると推定され、ユーザーにとって持続的な脅威となっている。

  • d58a6009dec024aee176df38d39bc32b (Stealc MD5)
    413aa458fb04b7ff1c455cefdb720135 (Stealc MD5)
  • hxxps://mega[.]nz/file/AhEBmaBI#lyluDB_AcC4qphklfyKhGYHyJnwyRCfvX2UC-zi6YA8 (配布元)
    hxxps://mega[.]nz/file/VWs2HKSQ#PnyLXgyDKNY1REGwFIG2D_K0Vmw8K0z_KM-aVGVEBWI (配布元)
  • hxxp://193.143.1[.]226/129edec4272dc2c8.php (Stealc C2)

このようにインストーラーに偽装したマルウェアの配布が活発であるため、注意が必要だ。実行ファイルをダウンロードする際には、必ず公式ホームページのドメインであるかを確認する必要があり、信頼できないリンクからダウンロードしたファイルの実行を控える必要がある。

AhnLab では、本文で紹介したマルウェアのサンプルを以下のように検知している。

[IOC 情報]

– StealC

  • MD5
    c935f54929475d06b6d11c746ac64156 (setup_2024.008.20534_win64_86.exe)
    d3bbe6f53dec9b65400f6477fb7ad697 (Setup_21.4_win64_86)
  • URL
    hxxps://i.ibb[.]co/FxjS8cy/1492239061.png (PNG)
    hxxps://gcdnb.pbrd[.]co/images/ZZsYr33PtdW0.png?o=1 (PNG)
    hxxps://pixeldrain[.]com/api/file/Qutj1LyJ (PNG)
    hxxps://iili[.]io/JV2qk2p.png (PNG)
    hxxps://gcdnb.pbrd[.]co/images/eZYxpEiX6alk.png?o=1 (PNG)
    hxxp://193.143.1[.]226/129edec4272dc2c8.php (StealC)
  • 検知名
    Infostealer/Win.Stealc.C5598726 (2024.03.09.03)
    Infostealer/Win.Vidar.R635589 (2024.03.14.00)

– Vidar

  • MD5
    2c7c25d67a82fd3ab94ec5a84ce0bf9c(S3tup.exe)
    56043b1a19ee26f8a1886992a4db63fd(Setap.exe)
    a1a3f635d93b9326202bdad56492f68f(Setap.exe)
    b226d4ea9a9532321e1b3fec2924ba61(Setap.exe)
    c7270a045c095dc78da8596c456aedd5(Set3pCrack.exe)
    e5a9d16cf0d3d545add724a27a8e8556(Set3pCrack.exe)
  • URL
    hxxps://gcdnb.pbrd[.]co/images/U8847YouMZ4x.png?o=1 (PNG)
    hxxps://i.ibb[.]co/pyz97pz/1094446753.png (PNG)
    hxxps://gcdnb.pbrd[.]co/images/TkqrZotY6Ps8.png?o=1 (PNG)
    hxxps://i.ibb[.]co/dmyD1nF/2941038318.png (PNG)
    hxxps://i.ibb[.]co/c1szv4r/3351445504.png (PNG)
    hxxps://i.ibb[.]co/sQxVVvz/648044317.png (PNG)
    hxxps://qu[.]ax/JRUO.png (PNG)
    hxxps://gcdnb.pbrd[.]co/images/v5x684hwBX2v.png?o=1 (PNG)
    hxxps://qu[.]ax/BVmc.png (PNG)
    hxxps://i.ibb[.]co/Qk1PrqS/2373180300.png (PNG)
    hxxps://qu[.]ax/CwQB.png (PNG)
    hxxps://gcdnb.pbrd[.]co/images/oXcmE8xyi8RR.png?o=1 (PNG)
    hxxps://qu[.]ax/Ppkk.png (PNG)
    hxxps://qu[.]ax/dpfx.png (PNG)
    hxxps://37.27.36[.]6/ (Vidar)
    hxxps://t[.]me/hypergog/ (Vidar)
    hxxps://142.132.224[.]223:9001/ (Vidar)
    hxxps://steamcommunity[.]com/profiles/76561199642171824/ (Vidar)
    hxxps://65.109.172[.]49/ (Vidar)
  • 検知名
    Infostealer/Win.Vidar.R635589
    Infostealer/Win.LummaC2.R635589

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

 

Categories: マルウェアの情報

Tagged as: crack, InfoStealer, Installer, StealC, vidar

韓国国内の資産管理ソリューションを悪用して攻撃中の Andariel グループ(MeshAgent)
韓国国内公共機関のインストーラーに偽装したマルウェア(Kimsuky グループ)

Archives

  • Facebook
  • RSS Feed
follow us in feedly
 

Loading Comments...