Google Docs を C2 として活用する ACRStealer インフォスティーラー

ASEC(AhnLab SEcurity intelligence Center)では、Crack および Keygen などの違法プログラムに偽装して配布されているインフォスティーラーマルウェアをモニタリングし、関連する動向および変化を Ahnlab TIP(AhnLab Threat Intelligence Platform)、ASEC ブログを通じて公開している。このような方法で配布されるマルウェアは、長期に渡ってそのほとんどが LummaC2 インフォスティーラーだったが、最近は ACRStealer インフォスティーラーが本格的に配布され始めた。

図1. Crack に偽装したインフォスティーラー配布ページ

ACRStealer は去年の6月頃に初めて配布され、当時は1個のサンプルのみがテスト目的で配布された状況を確認した。その後、非常に少数のみの配布が確認されていたが、今年から配布数量が急激に増加した。2月の中間時点で1月全体のサンプル数量とほぼ同じ数が確認されたため、2月の配布数量は大幅に増加するものと見られる。

図2. ACRStealer 配布数量の推移

ACRStealer は、正常な Web プラットフォームサービスの特定のページを中間 C2 として活用する。この部分は、同じ方式で配布される Vidar、LummaC2 と類似している。攻撃者は、特定のページに Base64 でエンコードした実際の C2 ドメインを記入する。マルウェアは当該ページに接続して文字列を構文解析したあと、実際の C2 ドメインアドレスを取得して不正な振る舞いを実行する。このような手法を DDR(Dead Drop Resolver)といい、便宜上、当該目的のページを「中間 C2」と称する。過去には Steam を中間 C2 として使用していたが、最近では Google Docs を使用したマルウェアが配布された。これまでに ACRStealer が中間 C2 として活用したサービスは以下の通りである。

• Steam
• telegra.ph
• Google Docs (Form)
• Google Docs (Presentation)

図3. 中間 C2 として使用される Google Docs (Forms)

図4. 中間 C2 として使用される Google Docs (Presentation)

これまでのインフォスティーラーとは異なり、ACRStealer は中間 C2 をより柔軟に使用する様子を見せる。様々なプラットフォームに C2 文字列を挿入しており、その位置も何度も変更され続けている。例えば、Steam の事例において、過去にはページの可視領域に C2 文字列の値が存在していたが、最近では「summary」項目に C2 文字列を挿入しているため Web ブラウザには表示されず、ページソースでのみ確認できる。攻撃者は、今後もより多様なプラットフォームを悪用して中間 C2 に使用するものと考えられる。

図5. 過去サンプルの中間 C2(左)、最近配布されたサンプルの中間 C2(右)

中間 C2 から取得した実際の C2 ドメインと、サンプル内部にハードコーディングされた UUID 形式の識別子を組み合わせて、設定データをダウンロードする URL を生成する。ダウンロードする設定データは Base64 および XOR で暗号化されている。関連する値情報は以下の通りであり、現在までに変化は見られていない。

• 識別子 UUID：f1575b64-8492-4e8b-b102-4d26e8c70371
• 設定ダウンロード URL の形式：https://[C2]/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371
• 設定データ復号化キー： 852149723’\x00′

復号化された設定データは以下の図の通りであり、窃取対象プログラム、追加ダウンロードマルウェアの URL、窃取ファイルの拡張子およびパス、窃取対象拡張プログラムの ID などの設定情報が含まれている。

図6. 設定データ

C2 が返す設定ファイルは、ブラウザデータ、テキストファイル、暗号通貨ウォレットファイル、FTP サーバー情報、チャットプログラム情報、電子メールクライアント情報、リモートプログラム情報、ターミナルプログラム情報、VPN 情報、パスワード管理プログラム情報、データベース(DB)情報、ブラウザ拡張プラグイン情報などを窃取するように構成されていた。設定に応じて収集したファイルは、ZIP 形式で圧縮し、C2 に転送する。

図7. ネットワーク上の振る舞い

解析当時の設定ファイルを基準とした窃取対象プログラムの一覧は以下の通りである。

• ブラウザ
  Chrome, Chrome SxS, Chrome Beta, Chrome Dev, Chrome Unstable, Chrome Canary, Epic Privacy Browser, Vivaldi, 360Browser Browser, CocCoc Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa, Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements Browser, MapleStudio ChromePlus, Maxthon3, Amigo, BraveSoftware Brave-Browser, Microsoft Edge, Opera Software Opera Stable, Opera Software Opera GX Stable, Opera Software Opera Neon, Mozilla Firefox, NETGATE Technologies BlackHawk, TorBro, Thunderbird
• ファイル
  .txt ファイル
• その他プログラム
  Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Dogecoin, ElectronCash, MultiDoge, jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, AnyDesk, FileZilla, Telegram Desktop, Mailbird, eM Client, The Bat!, PMAIL, snowflake-ssh, NordVPN, AzireVPN, purple, WhatsApp, Signal, Zcash, Guarda, WalletWasabi, Bitwarden, NordPass, 1Password, RoboForm, MySQL, Total Commander, Tox, Psi, Psi+, GoFTP, yMail2, FTPInfo, UltraFXP, NetDrive, FTP Now, DeluxeFTP, Opera Mail, FTPGetter, Steed, Sticky Notes, Notezilla, To-Do DeskList, ALFTP, BitKinex, TrulyMail, Pocomail, NppFTP, FTPBox, NovaFTP, GmailNotifierPro, BlazeFtp, Monero
• ブラウザプラグイン(設定ファイルには Plugin ID が記載されており、確認可能な Plugin ID は製品名に置換)
  TON Wallet, MyTonWallet, Tonkeeper, MathWallet, lodccjjbdhfakaekdiahmedfbieldgik, hcflpincpppdclinealmandijcmnkbgn, Hycon Lite Client, fhmfendgdocmcbmfikdcogofphimnkno, kpfopkelmapcoipemfendmdcghnegimn, BNB Chain Wallet, Auro Wallet, nlbmnnijcnlegkjjpcfjclmcfggfefdm, Wombat, NeoLine, iWallet, Polymesh Wallet, Yoroi, Wallet Guard, Temple, TezBox, ICONex, Hana Wallet, MetaMask, Station Wallet, Coin98 Wallet Extension: Crypto ; Defi, hpglfhgfnhbgpjdenjgmdgoeiappafln, Nabox Wallet, Keplr, OneKey, ZilPay, TronLink, ejbalbakoplchlghecdalmeeeajnimhm, kjmoohlgokccodicjjfebfomlbljgfhk, Ronin Wallet, CLV Wallet, hnfanknocfeofbddgcijnmhnfnkdnaad, LeafWallet, Phantom, djclckkglechooblngghdinmeemkbgci, Bitget Wallet, SafePal Extension Wallet, Trust Wallet, flhbololhdbnkpnnocoifnopcapiekdi, kkhmbjifakpikpapdiaepgkdephjgnma, apbldaphppcdfbdnnogdikheafliigcf, ckdjpkejmlgmanmmdfeimelghmdfeobe, iodngkohgeogpicpibpnaofoeifknfdo, hnefghmjgbmpkjjfhefnenfnejdjneog, fpcamiejgfmmhnhbcafmnefbijblinff, egdddjbjlcjckiejbbaneobkpgnmpknp, nihlebdlccjjdejgocpogfpheakkpodb, ilbibkgkmlkhgnpgflcjdfefbkpehoom, oiaanamcepbccmdfckijjolhlkfocbgj, ldpmmllpgnfdjkmhcficcifgoeopnodc, mbcafoimmibpjgdjboacfhkijdkmjocd, jbdpelninpfbopdfbppfopcmoepikkgk, onapnnfmpjmbmdcipllnjmjdjfonfjdm, cfdldlejlcgbgollnbonjgladpgeogab, Blocknative Gas Fee Estimator for Ethereum, Base, Arbitrum, and More, fdfigkbdjmhpdgffnbdbicdmimfikfig, njojblnpemjkgkchnpbfllpofaphbokk, hjagdglgahihloifacmhaigjnkobnnih, RoboForm Password Manager, ljfpcifpgbbchoddpjefaipoiigpdmag, Authenticator, gaedmjdfmmahhbjefcbgaolhhanlaolb, imloifkgjagghnncjkhggdhalmcnfklk, oeljdldpnmdbchonielidgobddffflal, GAuth Authenticator, Bitwarden Password Manager, KeePassXC-Browser, Dashlane, fooolghllnmhmmndgjiamiiodkpenpbb, Keeper® Password Manager, lfochlioelphaglamdcakfjemolpichk, LastPass: Free Password Manager, Browserpass, MYKI Password Manager ; Authenticator, nofkfblpeailgignhkbnapbephdnmbmn, Splikity, CommonKey, Zoho Vault, Adblock Plus, kmmkllgcgpldbblpnhghdojehhfafhro, ibegklajigjlbljkhfpenpfoadebkokl, ijpdbdidkomoophdnnnfoancpbbmpfcn, llalnijpibhkmpdamakhgmcagghgmjab, mjdmgoiobnbombmnbbdllfncjcmopfnc, ekkhlihjnlmjenikbgmhgjkknoelfped, jngbikilcgcnfdbmnmnmnleeomffciml, hcjginnbdlkdnnahogchmeidnmfckjom, ogphgbfmhodmnmpnaadpbdadldbnmjji, hhmkpbimapjpajpicehcnmhdgagpfmjc, ojhpaddibjnpiefjkbhkfiaedepjheca, fmhjnpmdlhokfidldlglfhkkfhjdmhgl, gjhohodkpobnogbepojmopnaninookhj, hmglflngjlhgibbmcedpdabjmcmboamo, eklfjjkfpbnioclagjlmklgkcfmgmbpg, jbkfoedolllekgbhcbcoahefnbanhhlh, OKX Wallet, jbdaocneiiinmjbjlgalhcelgbejmnid, blnieiiffboillknjnepogjhkgnoapac, cjelfplplebdjjenllpjcblmjkfcffne, fihkakfobkmkjojpchpfgcmhfjnmnfpi, Enkrypt: ETH, BTC and Solana Wallet, nanjmdknhkinifnkgdcggcfnhdaammmj, nkddgncdjgjfcddamfgcmfnlhccnimig, Rabby Wallet, Pontem Crypto Wallet, efbglgofoippbgcjepnhiblaibcnclgk, Nami, Petra Aptos Wallet, Sui Wallet, Exodus Web3 Wallet, SubWallet – Polkadot Wallet, mopnmbcafieddcagagdcbnhejhlodfdd, Talisman Wallet, hifafgmccdpekplomjjkcfgodnhcellj, ijmpgkjfkbfhoebgogflfebnmejmfbm, lkcjlnjfpbikmcmbachjpdbijejflpcm, onofpnbbkehpmmoabgpcpmigafmmnjh, Cyano Wallet, Byone, infeboajgfhgbjpjbeppbkgnabfdkdaf, UniSat Wallet, Zerion, enabgbdfcbaehmbigakijjabdpdnimlg, Fluvi Wallet, Fuelet Wallet | Fuel, Leo Wallet, Leap Cosmos Wallet, Venom Wallet, Argent X, Braavos, Shell Wallet, Cirus, Sender Wallet, Pali Wallet, Fewcha Move Wallet, MultiversX Wallet, Leather, Carax Wallet, Backpack, Pockie Wallet, Koala Wallet, odpnjmimokcmjgojhnhfcnalnegdjmdn, BlockWallet, Gate Wallet, Suiet | Sui Wallet, mcbigmjiafegjnnogedioegffbooigli, Nightly, heefohaffomkkkphnlpohglngmbcclhi, ocjdpmoallmgmjbbogfiiaofphbjgchh, Ctrl Wallet, Typhon Wallet, Eternl, Lace, Kerberus Sentinel3, Alby, Xverse Wallet, OsmWallet, EVER Wallet, KardiaChain Wallet, odbfpeeihdkbihmopkbjmoonfanlbfcl, Oxygen, aodkkagnadcbobfpggfnjeongemjbjca, MultiversX Wallet, Keeper Wallet, Solflare Wallet, Goby, Coinhub, kppfdiipphfccemcignhifpjkapfbihd, Glass wallet | Sui wallet, Compass Wallet for Sei, HAVAH Wallet, Magic Eden Wallet

違法ソフトウェアに偽装して様々なインフォスティーラーマルウェアが活発に配布されている。違法ソフトウェアの使用は控え、信頼できないページからダウンロードしたファイルには注意が必要である。

IOC 関連情報

SHA2

0966facf8c0f32eeaa303dab4b6ed59071a0038bd3f3f7c109ab58c7a02d67e3

09c823235ca17428d294825f8c5c005df6e333e69e7c3c41f9e9e03e96a25646

0d0ddb0fa6b48252bf7b42741ffce72548515182e5746830ba7412842a9c4b46

0d51d748c3d5130d86183ea04cfebf157d2547ad453b1d013240f2b088ef8eb6

0e4fc0dc26227b24849e2b4f7f1ebb1c65e1f012d75f1e952ff13ae4d6b33ad4

追加 IoC は ATIP で提供しています。

URL

https[:]//2429568886dbdaba3fa935d7ae112525[.]stunnedfragiledioxide[.]shop/Up

https[:]//2429568886dbdaba3fa935d7ae112525[.]stunnedfragiledioxide[.]shop/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371

https[:]//2429568886dbdaba3fa935d7ae1125a1[.]stunnedfragiledioxide[.]shop/Up

https[:]//2429568886dbdaba3fa935d7ae1125a1[.]stunnedfragiledioxide[.]shop/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371

https[:]//2429568886dbdaba3fa935d7ae1125aa[.]stunnedfragiledioxide[.]shop/Up

追加 IoC は ATIP で提供しています。

FQDN

2429568886dbdaba3fa935d7ae112525[.]stunnedfragiledioxide[.]shop

2429568886dbdaba3fa935d7ae1125a1[.]stunnedfragiledioxide[.]shop

2429568886dbdaba3fa935d7ae1125aa[.]stunnedfragiledioxide[.]shop

a-bc[.]xyz

bolstermonoxideseventeen[.]shop

追加 IoC は ATIP で提供しています。