AhnLab SEcurity intelligence Center(ASEC)は最近、攻撃者がマルウェアを配布するために YouTube を活用する事例が増加していることを確認した。攻撃者は、単に YouTube アカウントを作成してマルウェアを配布するのではなく、すでに存在する有名な YouTube アカウントを窃取してマルウェアを配布している。確認された事例の中には、チャンネル登録者が80万人を超える場合も存在した。
YouTube を悪用する攻撃者は、主にインフォスティーラーを配布している。2020年に YouTube を悪用して RedLine インフォスティーラーを配布した事例から始まり、今回確認された事例でも Vidar と LummaC2 などのインフォスティーラーマルウェアを配布した。
1. YouTube を利用したマルウェアの配布事例
2. 攻撃に使用されたマルウェア
攻撃方式はすべて類似しているが、Adobe のような正常なプログラムのクラックをテーマにした動画をアップロードしながら、本文やコメントにダウンロードリンクを添付する。マルウェアはすべて MediaFire にアップロードされており、パスワードが設定された圧縮ファイルの形態である。これはセキュリティ製品の検知を回避する目的と見られる。圧縮ファイルの圧縮を解凍すると、インストーラに偽装したマルウェアが確認される。
2.1. Vidar インフォスティーラー
以下は、Vidar マルウェアが偽装したインストーラであり、LummaC2 インフォスティーラーを配布した過去の事例と同様である。[7] 一般的にユーザが実行することになる「Set-up.exe」ファイルは、Edge の「identity_helper.exe」であり、正常なファイルである。しかし、このファイルが実行されると、同じパスに位置した「msedge_elf.dll」ファイルをロードすることになるが、このファイルがパッチされた形態のマルウェアである。正常な「msedge_elf.dll」のコードの一部をパッチしたマルウェアは、実行中に同じパスに位置した「berley.asp」と「Complot.ppt」ファイルを復号化し、シェルコードおよびマルウェアのペイロードとして使用する。
以外にも、過去の RecordBreaker インフォスティーラー配布事例と類似した方式で配布される場合も存在する。[8] このような方式の特徴は、セキュリティ製品の検知を回避するため、ファイルのサイズを 800MB 程度まで意図的に拡大させて配布するという点である。もちろん、意図的に追加したペイロードには一定のパターンが存在するため、実際の圧縮ファイルはこれより小さい。以下の事例でも 800MB だった「Setup.exe」のサイズが圧縮後、8MB に減ったことがわかる。
二つの配布事例は、同じ攻撃者によるものと推定されるが、C&C サーバーのアドレスが同じためである。Vidar は、C&C サーバーとの通信において Telegram と Steam Community を活用する。以下のように実際の C&C サーバーのアドレスは各プロフィールに指定されており、これを参考にして実際の C&C サーバーに接続し、収集した情報を窃取する。
2.2. LummaC2 インフォスティーラー
以下は、LummaC2 マルウェアが含まれたインストーラである。上記で紹介した Vidar マルウェアの事例と比較した時、変わった特徴は存在せず、インストーラに偽装した実行ファイル自体がマルウェアである。
LummaC2 は、最近活発に配布されているインフォスティーラーマルウェアであり、主に商用プログラムのクラックに偽装して配布されている。[9] Vidar、Azorult、RedLine、AgentTesla など、一般的なインフォスティーラーマルウェアのように Web ブラウザ、電子メール、FTP クライアントなどでアカウント情報を窃取し、他にもスクリーンショットや仮想通貨のウォレットファイルを窃取したりもする。
3. 結論
最近、攻撃者たちが有名な YouTube アカウントをハッキングして Vidar と LummaC2 マルウェアを配布する事例が確認された。このマルウェアはどちらも、感染システムに保存されている様々なユーザー情報を収集して窃取するインフォスティーラーマルウェアであり、それ以外にも追加マルウェアをダウンロードしてインストールすることができる。
攻撃対象となったアカウントは、チャンネル登録者数が80万人を超える場合もあり、ユーザーが特に疑うことなくマルウェアをインストールする恐れがある。攻撃者が商用プログラムのクラックを偽装したという点が共通した特徴である。
このように、様々なプラットフォームを通じてマルウェアがインストールされる恐れがあるため、違法プログラムをダウンロードする行為を控える必要がある。また、正規版のソフトウェアを使用することを日頃から心がけ、疑わしい Web サイトや P2P は利用しないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Trojan/Win.Evo-gen.C5558850 (2023.12.05.01)
– Malware/Win.Generic.R642292 (2024.03.30.01)
– Infostealer/Win.Vidar.R642530 (2024.04.01.02)
– Infostealer/Win.Vidar.C5603574 (2024.03.21.03)
– Data/BIN.Encoded (2024.04.01.02)
振る舞い検知
– Injection/MDP.Hollowing.M4180
IoC
MD5
– af273f24b4417dce302cf1923fb56c71 : Vidar Loader (msedge_elf.dll)
– 0c9c366aa9938df153c406db65debe82 : Encoded Data (berley.asp)
– dae50482d640385a5665272cd1f716df : Encoded Data (complot.ppt)
– e8201c07fcb62107a91411c55c261fab : Vidar (Setup.exex)
– 2414085b0a5bf49d9658f893c74cf15e : LummaC2 (Adobe_Activator.exe)
– cd0338fffaebc9cbc50a435868397e96 : LummaC2 (Update-setup.exe)
C&C サーバー
– hxxps://steamcommunity[.]com/profiles/76561199658817715 : Vidar
– hxxps://t[.]me/sa9ok : Vidar
– hxxps://78.47.221[.]177 : Vidar
– hxxps://95.216.176[.]246:5432 : Vidar
– hxxps://interferencesandyshiw[.]shop/api : LummaC2
– hxxps://chokepopilarvirusew[.]shop/api : LummaC2
– hxxps://pillowbrocccolipe[.]shop/api : LummaC2
– hxxps://communicationgenerwo[.]shop/api : LummaC2
– hxxps://diskretainvigorousiw[.]shop/api : LummaC2
– hxxps://affordcharmcropwo[.]shop/api : LummaC2
– hxxps://dismissalcylinderhostw[.]shop/api : LummaC2
– hxxps://enthusiasimtitleow[.]shop/api : LummaC2
– hxxps://worryfillvolcawoi[.]shop/api : LummaC2
– hxxps://cleartotalfisherwo[.]shop/api : LummaC2
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報