Electron で作成され配布されているインフォスティーラー

AhnLab SEcurity intelligence Center(ASEC)は、Electron で作成されたインフォスティーラータイプを発見した。

Electron は JavaScript、HTML および CSS を使用してアプリを開発できるフレームワークである。Discord、Microsoft VSCode が Electron で作成された代表的なアプリケーションである。Electron で開発されたアプリは、パッキングされた後に主に NSIS(Nullsoft Scriptable Install System)インストーラの形で配布されるが、攻撃者はこれをマルウェアに適用した。[1](外部サイト、英語にて提供)

事例 #1

マルウェアを実行すると、以下のようなフォルダー構造の Electron アプリケーションがインストールおよび実行される。

Electron は、node.js で OS と相互作用するため、実際に不正な振る舞いが定義された位置は node.js スクリプトであり、このスクリプトは .asar ファイルにパッキングされている。(主に app\resources パスに存在) そのため、npm asar でアンパックすることで完全なコードを確認することができる。

不正な振る舞いは a.js に定義されており、内容は以下の通りである。

事例 #2

TeamViewer 関連ファイルに偽装した別のマルウェアは、収集したユーザーの情報をファイル共有サービスである gofile にアップロードする。

アップロードされる内容はシステム情報、ブラウザの履歴および保存された ID とパスワード情報である。

NSIS インストーラで配布されるマルウェアは、NSI スクリプトが直接マルウェアを実行するのが一般的だが、上記で説明した事例は Electron という構造をもう一度経るため、検知の観点からもユーザーの立場でもマルウェアであることを認知しにくい。

ユーザーはゲームやユーティリティを使用する際、公式ホームページで提供するファイルを使用する必要がある。

[IOC 情報]
9926e2782d603061b52d88f83d93e7af (TeamViewer.exe)
cfc6e0014b3cc8d4dcaf0d76e2382556 (BetterShaders Setup 1.0.3.exe)
b150afa6b3642ea1da1233b76f7b454e (Software.exe)

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。