AhnLab SEcurity intelligence Center(ASEC)は最近、ゲームエミュレータを通じて XMRig コインマイナーが配布されている状況を確認した。このような事例に関する情報は、すでに以下の ASEC ブログで多数公開している。
- アレアハングルワードプロセッサー Crack に偽装して拡散中の Orcus RAT
- ウェブハードによって拡散しているモネロコインマイナーマルウェア
- ゲームハックを通じてインストールされる XMRig コインマイナー
1. 配布経路
コインマイナーが配布された経路は、有名ゲーム機器のゲームエミュレータを配布するサイトであることが確認されており、当該サイトの右側にあるダウンロードボタンを押すと、ゲームエミュレータの圧縮ファイルをダウンロードすることができる。
[図1] ゲームエミュレータ配布メインページ
[図2] ゲームエミュレータ配布ダウンロードページ
実際にこのゲームエミュレータを検索エンジンで検索すると、多数のブログでマルウェアが含まれているということを知らずに、このゲームエミュレータを紹介している。
[図3] ゲームエミュレータを紹介するブログ-1
[図4] ゲームエミュレータを紹介するブログ-2
2. ゲームエミュレータを通じてインストールされるコインマイナー
ゲームエミュレータをダウンロードすると、[図5]のように圧縮ファイル形式となっている。Readme.txt には emulator_installer.zip のパスワードと、解凍時にエラーが発生したときのガイドが記載されている。
[図5] ゲームエミュレータの圧縮ファイル
[図6] Readme.txt
emulator_installer.zip にはインストールガイドとエミュレータのインストーラーが存在する。ゲームエミュレータのインストーラーを実行すると、[図8]のようにゲームエミュレータのインストールプログレスバーが表示されることを確認できる。だが、実際にはゲームエミュレータがインストールされているのではなく、インストーラー内部のリソースに存在するコインマイナーが生成される。
[図7] emulator_installer.zip の解凍結果
[図8] ゲームエミュレータのインストールプログレスバー
[図9] コインマイナー生成コード
[図10] 生成されたコインマイナー
コインマイナーが生成後には PowerShell コマンドにより実行され、自己複製のあとに自動実行のためにレジストリ登録とタスクスケジューラー登録を実行し、自己複製したファイルを実行して最終的にコインマイナーの役割を遂行する。
自己複製ファイル名
– “pckcache.exe”
レジストリ登録先
– パス:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– 値の名前:Package Cache Cleaner
– 値のデータ:C:\Users\[ユーザー名]\AppData\Roaming\PackageCache\pckcache.exe
タスクスケジューラー登録
– 名前:Package Cache Cleaner
– トリガー:ユーザーがログオンするとき
– 動作: %AppData%\PackageCache\pckcache.exe
[図11] PowerShell 実行コマンド
[図12] 自己複製
[図13] レジストリ登録
[図14] タスクスケジューラー登録
このように、ゲームやゲームエミュレータを通じてマルウェアが活発に配布されており、ユーザーの注意が必要である。出どころが不明なデータ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。当該タイプのマルウェアは、以下のように AhnLab が検知している。
[ファイル検知]
Trojan/Win.Agent.C5623899 (2024.05.21.02)
Trojan/Win.Generic.R603077 (2023.09.03.03)
[IOC]
– Installer_x64_v531: ccbd43912387346590f48944278c9d5a
– plugin_t4: d029e44eb41900e78818f9666528a3c9
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: Uncategorized