仮想通貨取引所に偽装した Facebook 広告によるマルウェアの配布

AhnLab SEcurity intelligence Center(ASEC)は、仮想通貨ユーザーを対象に Facebook 広告を通じて配布されるマルウェアを確認した。このマルウェアは、特定の仮想通貨取引所に偽装して不正なプログラムのインストールを誘導し、ユーザーが偽装された Web サイトでファイルをダウンロードすると、「installer.msi」という名前のファイルが保存され、インストールが進行する。インストール過程で偽装された Web サイトにロードされた JavaScript と通信を行うようになり、最終的にシステム情報、画面キャプチャ、ブラウザ情報などを収集するインフォスティーラーが実行される。

[図1] 偽の広告

本文ではバイナンスに偽装したサイトを基準に説明する。ユーザーが Facebook 広告内の「もっと見る」または「ダウンロード」ボタンをクリックすると、偽装された Web サイトにリダイレクトされる。ただし、ユーザーが Facebook にログインしていない場合や、URL に「utm_campaign、utm_content、cid、bid、fbclid、fbid」などのパラメーターが含まれていない場合は、広告と無関係な一般サイトにリダイレクトされる。条件を満たして偽装サイトに移動した場合、メイン画面で Windows 用ダウンロードボタンを通じて不正なファイルのダウンロードを誘導する。

[図2] バイナンスに偽装したサイト

ユーザーがこのボタンをクリックすると、「installer.msi」という名前のファイルがダウンロードされ、これをインストールする過程でローカルホストの特定ポート(30303)がリスニング状態で開かれ、その後、偽装された Web サイトがそのポートを通じてシステムとの接続を試み、通信を行い始める。パラメーターに応じてコマンドを実行し、パラメーター別の機能は以下の[表1]の通りである。

[表1] パラメーターごとの機能

[図3] 偽装サイトにロードされた JavaScript コードの一部

「/r」パラメーターを通じて被害システムの GUID を攻撃者のサーバーに転送すると、サーバーはシステム情報を照会する WMI クエリを応答する。被害者の PC はこの応答を受け取り、WMI クエリを利用してシステム情報を収集し、「/worker」パラメーターを使用してこれを再び攻撃者のサーバーに転送する。その後、被害システムが仮想環境の場合、サーバーは NULL 値を返し、通信は終了する。対して、仮想環境でない場合は PowerShell スケジューラーを実行する XML 形式のスケジューラーファイルを応答する。

[図4] (上) スケジューラーの応答がないとき(仮想環境)(下) スケジューラーの応答があるとき(仮想環境でない場合)

スケジューラーが登録されると、「Application(応用プログラム)」ログでイベントが発生する場合、BASE64 でエンコーディングされた PowerShell スクリプトを実行し、実行されるスクリプトに関する詳しい内容は以下の通りである。

[表2] スクリプトごとの機能

[図5] 登録されたスケジューラ

[表2]の3番または4番に該当するスクリプトが実行されると、外部から追加 PowerShell スクリプトをダウンロードおよび実行する。ダウンロードされたスクリプトは、以下の[図6]のようにまた外部から追加スクリプトをダウンロードおよび実行する。

[図6] 追加スクリプトをダウンロードする PowerShell スクリプト

この攻撃は、仮想通貨に関心のあるユーザーを対象に広告を通じて配布される。海外のセキュリティ企業である Bitdefender、WithSecure でも関連内容を公開したことがある。最終的に実行されるマルウェアは、ブラウザ情報、Telegram 情報などを収集し、キーロガーなどの様々な不正な振る舞いを実行すると知られている。ユーザーはファイルをダウンロードする際、ドメインアドレスを確認し公式ホームページかどうかに注意しなければならず、広告を通じて配布されるファイルはほとんどが望まない PUP 性プログラムか、またはマルウェアである可能性が高いため、ダウンロードは避けるべきである。