Monero コインをマイニングする ViperSoftX 攻撃者

AhnLab SEcurity intelligence Center(ASEC)は、ViperSoftX 攻撃者が Monero コインをマイニングするコインマイナーをインストールしていることを確認した。ViperSoftX は、仮想通貨のウォレットアドレスを窃取する機能を含むリモート操作マルウェアである。攻撃者は、主に正常なソフトウェアのクラックや Keygen に偽装、または eBook に偽装してマルウェアを配布しており、ViperSoftX の他にも QuasarRAT や PureRAT(PureHVNC)、ClipBanker など、リモート操作および仮想通貨のウォレットアドレスを窃取することを目的としていた。しかし、最近では Monero コインをマイニングするコインマイナー マルウェアをインストールする事例が確認されている。

1. ViperSoftX

ViperSoftX は、2020年に Fortinet 社によって初めて確認され、感染システムを操作できる RAT マルウェアと仮想通貨のウォレットアドレスを窃取する情報窃取型マルウェアをインストールした。[1] 2022年には Avast 社によって新しい活動が報告されたが、従来使用していた JavaScript の代わりに PowerShell スクリプトを使用し、仮想通貨のウォレットアドレスの他にもクリップボードの変更、追加ペイロードのインストールなどの機能が追加された。また、Chrome ベースの Web ブラウザの不正な拡張プログラムをインストールする VenomSoftX を利用して情報を窃取することもあった。[2] TrendMicro 社の2023年報告書では、ViperSoftX の配布手法について紹介し、従来と比較して「KeePass 2」および「1Password」のようなパスワード管理者がインストールされたかどうかをチェックするルーチンが追加されたことが明らかになった。[3] 2024年には、トレントを通じて eBook に偽装して配布された事例が Trellix 社によって公開されることもあった。[4]

ViperSoftX は、全世界を対象にマルウェアを配布しており、その結果韓国国内でも多数のシステムが感染している。ASEC では、ブログを通じて韓国国内を対象とする攻撃事例を公開した。2024年には、ディープラーニング方式で画像からテキストを抽出する機能をサポートするオープンソース OCR エンジンである Tesseract を活用し、パスワードや仮想通貨のウォレットアドレスに関連した文字列情報を窃取する TesseractStealer マルウェアを扱い、[5] 2025年にも PureRAT、ClipBanker のような新しいマルウェアを活用した事例を扱った。[6]

2. マルウェア分析

2.1. 初期スクリプト

ViperSoftX は、感染システムにタスクスケジューラを登録し、定期的に不正な PowerShell スクリプトを実行させるが、不正なスクリプトが挿入された偽装ファイルの特定オフセットを読み込んで復号化するか、レジストリに保存されている PowerShell コマンドを読み込んで実行する方式がそれである。このような方式は、最近まで同様に使用されており、以下のように DGA 方式でドメインを組み合わせて C&C アドレスを取得する方式や、DNS の TXT レコードを悪用する方式も、過去と同様である。

図1. DGA 方式で C&C サーバー取得

図2. ダウンロードされた暗号化された PowerShell コマンド

攻撃事例で確認される PowerShell コマンドは、以下のように二種類あり、ViperSoftX および他のマルウェアをインストールする際に使用される。

図3. 追加ペイロードダウンローダースクリプト

2.2. ViperSoftX

ViperSoftX は、過去のレポートで分析したタイプと同じ形式である。さらなるコマンドを実行したり、ペイロードをインストールしたりすることができ、その他にも仮想通貨のウォレットプログラムと関連したウィンドウをモニタリングや、仮想通貨のウォレットアドレスと関連したクリップボードモニタリング、システム情報の送信などの機能に対応する。

Table 1. ViperSoftX が対応するコマンド

参考までに、ViperSoftX は上記の機能以外にも別のスクリプトを通じてシステムにインストールされた仮想通貨のウォレットプログラムや Web ブラウザの拡張プログラム、そしてパスワード管理者である KeePass、1Password のインストール有無をモニタリングするルーチンも対応する。

図4. 仮想通貨のウォレットおよびパスワード管理者モニタリングルーチン

2.3. QuasarRAT

QuasarRAT は .NET で開発されたオープンソース RAT マルウェアであり、プロセスおよびファイルの制御、システムタスク、リモートコマンド実行、ファイルのアップロードおよびダウンロードなどのリモートコントロール機能を提供する。その他にも、キーロガーやアカウント情報の収集などの機能を活用し、感染システムに保存されているユーザー情報を窃取することもできる。

図5. 復号化された QuasarRAT の設定データ

2.4. PureRAT、PureLogs ダウンローダー

ViperSoftX 攻撃者は主に QuasarRAT を利用し、感染システムの操作権を奪ったが、2025年には PureRAT のようなマルウェアが共に使用されている。PureRAT は RAT マルウェアであり、ファイル、タスク、プロセス、レジストリの操作などのリモートコントロール機能だけでなく、HVNC、リモートデスクトップ、キーロガー、クリップボードハイジャックなどの様々な機能をプラグインで提供し、感染システムをリモートで操作できる。

図6. PureRAT の設定情報

PureRAT は PureCoder という開発者が製作し、販売中だが、PureRAT の他にも PureCrypter、PureLogs のような他のマルウェアが存在する。攻撃に使用されたマルウェアの中には、現在は C&C サーバーとの通信が不可能であり、詳細は不明だが、インフォスティーラー マルウェアである PureLogs をダウンロードするものと推定されるタイプも多数存在する。

図7. ダウンローダーの設定情報

2.5. コインマイナー

攻撃に使用されたダウンローダーの中には、QuasarRAT や PureRAT など、外部から追加のペイロードをダウンロードして動作するタイプがある。現在は正常な動作が不可能だが、このマルウェアはこのようなダウンローダーとしての役割だけでなく、コインマイナーの役割も同時に遂行しているものと考えられる。内部の設定データには以下のような XMRig 関連情報を含んでいることが特徴である。

図8. コインマイナー関連の設定データ

3. 結論

ViperSoftX 攻撃者は数年前から仮想通貨のユーザーを攻撃しており、最近もなお、活発にマルウェアを配布している。攻撃者は仮想通貨に関連した情報を窃取や、取引に混線を起こすために様々なマルウェアを活用している。ViperSoftX に感染すると、攻撃者によって操作権が奪われ、本文で言及した情報だけでなく、さらなる多くのユーザー情報が窃取される可能性がある。また、最近ではコインマイナーのインストール事例が確認されており、攻撃者はシステムのリソースを活用し、モネロコインをマイニングすることができる。

ユーザーは、公式ホームページ以外の疑わしい Web サイトや、資料共有サイトからダウンロードしたソフトウェアをインストールする行為に注意を払う必要がある。そして、OS およびインストールされたソフトウェアの最新セキュリティパッチを適用し、V3 製品を最新バージョンに維持して、既知の攻撃を遮断しなければならない。

[V3 診断]

• Backdoor/Win32.QuasarRAT.R341693 (2020.06.27.06)
• Trojan/Win.Generic.C5809360 (2025.10.30.01)
• Trojan/Win.Generic.C5808628 (2025.10.27.03)
• Trojan/Win32.Subti.R285137 (2019.08.06.05)
• Trojan/Win.MSIL.C5806208 (2025.10.18.03)
• Trojan/Win.Wacatac.C5805594 (2025.10.16.02)
• Trojan/Win.Wacatac.C5805595 (2025.10.16.02)
• Trojan/Win.Barys.C5805458 (2025.10.16.00)
• Trojan/Win.Generic.C5808261 (2025.10.26.01)
• Trojan/Win.Barys.C5805304 (2025.10.15.03)
• Malware/Win.MSILHeracles.C5804169 (2025.10.13.01)
• Trojan/Win.Generic.C5778060 (2025.07.11.02)
• Trojan/Win.Kryptik.C5771451 (2025.06.17.01)
• Trojan/Win.MSILZilla.C5775555 (2025.07.02.01)
• Downloader/Win.Miner.C5816870 (2025.11.20.03)
• Downloader/PowerShell.Agent.SC187680 (2025.11.20.02)
• Dropper/PowerShell.Agent (2025.11.20.03)
• Infostealer/Powershell.ViperSoftX.SC297528 (2025.11.20.03)
• Infostealer/Powershell.ViperSoftX.SC297529 (2025.11.20.03)
• Downloader/PowerShell.ViperSoftX.S2678 (2024.05.03.03)
• Trojan/PowerShell.ViperSoftX.S2692 (2024.05.16.02)
• Downloader/PowerShell.ViperSoftX.S3053 (2025.05.26.02)