賭博ゲームに偽装して拡散している WrnRAT

AhnLab SEcurity intelligence Center(ASEC)では最近、Badugi、ゴーストップ、 ホールデムのような賭博ゲームに偽装してマルウェアが拡散していることを確認した。攻撃者は賭博ゲームに偽装したホームページを作成しており、ゲームコネクターをダウンロードすると感染システムを操作して、情報を窃取できるマルウェアをインストールする。当該マルウェアは攻撃者が自ら作成したものと思われ、ここでは作成に使われた文字列をもとに WrnRAT と呼ぶ。

上記事例は事例の1つと思われ、コンピューター最適化プログラムに偽装して配布された状況も確認されている。マルウェアの配布には HFS などのプラットフォームが使用された。

最初にインストールされるのは Batch マルウェアと推定され、これによってドロッパーがインストールされる。Batch スクリプトからは、韓国語で作成されたコメントが確認できることが特徴である。

ドロッパーマルウェアは「Installer2.exe」、「Installer3.exe」、「installerABAB.exe」などの名前で配布されており、.NET で開発された。ドロッパーは実行時にランチャーおよび WrnRAT を生成し、ランチャーを利用して WrnRAT を実行したあと、自己削除する。WrnRAT は Internet explorer に偽装したパスに「iexplorer.exe」の名前で生成される。

WrnRAT は Python で開発され、PyInstaller を利用して実行ファイル形式で配布されている。WrnRAT の実質的な機能はユーザーの画面をキャプチャして転送する機能だが、このほかにも基本的なシステム情報を転送したり、特定のプロセスを終了させる機能もサポートしている。攻撃者は、このほかにもファイアウォールを設定する追加のマルウェアも作成して使用している。

最近、Badugi、ゴーストップ、 ホールデムのような賭博ゲームに偽装して情報を窃取するマルウェアが拡散している。攻撃者は金銭的利益を目的としているものと見られ、賭博ゲームのユーザーを対象にスクリーンショットを窃取する。これにより、攻撃者は賭博ゲームユーザーのゲームプレイを確認することができ、違法ゲームのユーザーはさらなる金銭的損害を被ることがある。ユーザーは、違法および疑わしい配布元からインストーラーをダウンロードしないように注意するべきである。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。

IOC関連情報

MD5

0159b9367f0d0061287120f97ee55513

03896b657e434eb685e94c9a0df231a4

0725f072bcd9ca44a54a39dcec3b75d7

0d9e94a43117a087d456521abd7ebc03

1b8dfc3f131aaf091ba074a6e4f8bbe6

追加 IoC は ATIP で提供しています。

URL

http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/MicrosoftEdgeUpdate[.]exe

http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/bound[.]exe

http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/iexplore[.]exe

http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/installerABAB[.]cmd

http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/installerABAB[.]exe

追加 IoC は ATIP で提供しています。

FQDN

aaba1[.]kro[.]kr

delete1[.]kro[.]kr

inddio23[.]kro[.]kr

nt89kro[.]kr

nt89s[.]kro[.]kr

追加 IoC は ATIP で提供しています。

IP アドレス

160[.]251[.]93[.]181