AhnLab SEcurity intelligence Center (ASEC) は、最近韓国で収集されているマルウェアの配布元を監視する過程で、xRAT (QuasarRAT) マルウェアが成人向けゲームを装い、ウェブハードを通じて配布されている事例を確認した。ウェブハードは、韓国においてマルウェア配布に頻繁に悪用される代表的なプラットフォームである。
一般的に攻撃者は、njRAT や XwormRAT のように容易に入手可能なマルウェアを使用し、ゲームなどの正規プログラムや成人向けコンテンツを装ってマルウェアを拡散する。このような事例は、すでに以下の ASEC ブログでも数多く紹介している。
- ウェブハードによって拡散している Remcos Rat マルウェア
- ウェブハードによって拡散している UDP Rat マルウェア
- ウェブハードと Torrent を通して拡散している njRAT
- 韓国国内有名ウェブハードを通して拡散する njRAT マルウェア
- ウェブハードによって拡散している XWorm v5.6 マルウェア
マルウェアが含まれた圧縮ファイルを配布するウェブハードのダウンロードページは、[図 1]のように成人向けゲームを装っている。攻撃者は当該投稿以外にも、[図 2]のように複数の別ゲームをアップロードしており、状況から見て同一のマルウェアを配布していたものと推測される。しかし、ブログ掲載時点ではすでに投稿が削除されており、確認はできなかった。
[図 1] 掲載された投稿
[図 2] 同一攻撃者による別の投稿
ダウンロードした ZIP 圧縮ファイルを展開すると[図 3]のようなファイルを確認できる。ユーザーはゲームを実行する目的で、自然な流れで「Game.exe」ファイルを実行することになる。しかし、「Game.exe」は実際のゲームプログラムではなく、マルウェアを実行するためのランチャーファイルであり、「Game.exe」と同じパスに存在する「Data1.pak」ファイルが実際のゲームを起動するランチャーである。主なファイルの内容は以下の[表 1]のとおりである。
[図 3] ファイル構成
| ファイル名 | 機能 |
|---|---|
| Game.exe | ゲームとマルウェアを実行するランチャーファイル |
| Data1.Pak | 実際のゲームを起動するランチャーファイル |
| Data2.Pak | シェルコードをインジェクションするインジェクター |
| Data3.Pak | シェルコードが記録されたテキストファイル |
[表 1] 主なファイルと機能
「Game.exe」を実行し、[Game Play !]ボタンをクリックすると、「Data1.pak」ファイルが「Locales_module」フォルダーに「Play.exe」という名前でコピーされる。続いて、「Locales_module」パスに存在する「Data2.pak」および「Data3.pak」ファイルは、それぞれ「C:\Users[ユーザーアカウント名]\AppData\Local\Microsoft\Windows\Explorer」パスに、「GoogleUpdate.exe」と「WinUpdate.db」という名前でコピーされる。その後、「Play.exe」が実行されて実際のゲームが起動すると同時に「GoogleUpdate.exe」も実行される。
「GoogleUpdate.exe」が実行されると、同じパスに存在する「WinUpdate.db」を検索し、文字列置換および AES アルゴリズムを用いた復号処理を行い、最終的なシェルコードを取得する。その後、「explorer.exe」に対してインジェクションを実行する。さらに、「explorer.exe」の EtwEventWrite() 関数を 0xC3 (RET) で1バイトパッチし、ETW (Event Tracing for Windows) によるイベント記録を無効化する。
[図 4] インジェクションコードの一部
[図 5] イベント記録無効化コード
「explorer.exe」に最終的にインジェクションされるコードは「xRAT (QuasarRAT)」であり、システム情報の収集、キーロギング、ファイルのダウンロードおよびアップロードなど、多様な悪意ある動作を実行する。
[図 6] xRAT (QausarRAT) の設定値
このように、韓国のウェブハードなどのファイル共有サイトを通じてマルウェアが活発に配布されているため、十分な注意が必要である。ファイル共有サイトからダウンロードした実行ファイルは特に警戒すべきであり、ユーティリティやゲームなどのプログラムは、必ず公式サイトからダウンロードすることを推奨する。
[ファイル診断]
Data/Bin.Shellcode (2026.01.04.03)
Trojan/Win.Agent.C5834849 (2026.01.04.00)
Trojan/Win.Loader.C5834845 (2026.01.04.00)
Trojan/Win32.Subti.C1663822 (2016.11.15.00)
[ビヘイビア診断]
Malware/MDP.Behavior.M1839 (2018.01.11.00)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア