正常なプログラムをもとに作成され拡散している LummaC2 情報窃取型マルウェア

LummaC2 は、クラックなどの違法ソフトウェアに偽装して活発に拡散している情報窃取型マルウェアであり、配布方法、作成方法が持続的に変化している。最近では正常なプログラムにマルウェアを挿入した形で配布されており、注意が必要である。

図1. マルウェア配布ページの例

LummaC2 マルウェアが実行されると、ブラウザに保存されたアカウント情報、メール情報、暗号通貨ウォレットの情報、オートログインプログラムの情報などのプライベートな情報が攻撃者の C&C サーバーに転送され、窃取された情報はダークウェブで取引されたり、さらなるハッキング攻撃に利用されるなどの2次被害が発生するおそれがある。個人用 PC から窃取された情報により、企業のシステムまで攻撃を受ける侵害事故も絶えず発生し続けている。

従来はマルウェア専用のビルダー(Builder)を使用してマルウェアを作成し、バージョン情報、アイコン情報などのリソース部分のみ正常なファイルと同様に偽装する形で主に配布されていた。そのため、ファイルのリソースは正常であるかのように見えても、内部コードやデータは全く異なる形式になっており、見分けがつきやすかった。

しかし、現在出回っているタイプは、正常なファイルの一部領域にマルウェアを挿入する方法により作成されている。この場合、大半のファイル内容および構造が正常なファイルと同じであるため、見分けがつきにくい。

図2. 改ざんされたコード(左：不正、右：正常)

攻撃者は正常なファイルの最後のセクションのサイズを拡張して大量のコードとデータを挿入し、挿入されたコードを実行するようにコード領域の一部を改ざんする。このようにして作成されたマルウェアに別の正常なファイルのバージョン、アイコン、証明書などのリソース情報を使用して偽装する。

実行に関係のないリソース領域を変更するのとは異なり、セクションを拡張してコード領域を修正する作業は、分岐構造、スレッド実行フロー、オリジナルコードのサイズなど、考慮すべき事項が多く、複雑である。それにもかかわらず、攻撃者は感染確率を高めるためにこのような方法を用いているものと見られる。

図3. 改ざんされた関数呼び出し(左：不正、右：正常)

攻撃者は簡単に手に入るプログラムをランダムに選択し、マルウェアを作成しているものと推定できる。最近では、韓国国内の有名なソフトウェアに偽装したマルウェアが配布されることもあった。

図4. 韓国国内の有名なプログラムに偽装した例

1つ目のマルウェアサンプルを例にとると、海外のオーディオ編集プログラムにマルウェアを挿入したあと、韓国国内のオーディオ再生プログラムのバージョン情報と署名(単純な偽装であり、署名は有効ではない)、オープンソースの画像編集プログラムのアイコンを使用して作成された。

マルウェアが実行されると choice.exe を実行したあと、コードをインジェクションする。その後、Temp パスに「.pif」拡張子で正常な AutoIT ファイルを生成して実行してから、LummaC2 マルウェアをインジェクションする。

図5. プロセス実行フロー

2つ目のサンプルはファイル内容、証明書、バージョン、アイコンをそれぞれ異なる正常なプログラムのものを使用しており、実行すると複雑なインジェクション過程を経ず単独で LummaC2 マルウェアが動作する。

このように、攻撃者は精巧に偽装されたマルウェアを作成して配布を続けており、偽装方法も持続的に変化している。これは、ユーザーを欺くためというよりも、セキュリティ企業の検知を困難にするための目的であると解釈できる。AhnLab では、これらの方法により配布されるマルウェアに対する収集、解析、検知プロセスを自動化して、マルウェアの発生と同時にサンプルを収集し、C&C サーバーを解析して遮断している。

信頼できない Web ページからダウンロードしたファイル、暗号圧縮されたファイル、または署名が有効ではないファイルはマルウェアの可能性があるため、特に注意が必要である。

IOC 関連情報

MD5

2871fb22369890c609fdb067db060c42

3079439be9235f321baab3ae204a7b8b

4f8ac16139c29a03686004904cf9ce76

5845951ae9a216178404ec2e66d1872c

59d5751d980fae8a556e53a4282c69ed

追加 IoC は ATIP で提供しています。

URL

https[:]//authorisev[.]site/api

https[:]//bakedstusteeb[.]shop/api

https[:]//bringlanejk[.]site/api

https[:]//conceszustyb[.]shop/api

https[:]//contemteny[.]site/api

追加 IoC は ATIP で提供しています。