Posted By ,

異なるアウトラインで拡散している情報奪取型マルウェアの CryptBot

CryptBot マルウェアは、ユーティリティのダウンロードページに偽装した不正なサイトを通じて配布される情報奪取型マルウェアである。特定のプログラム、クラック、シリアル等のキーワードを検索すると関連する配布元が上部に表示され、そのページにアクセスしてダウンロードボタンをクリックすると、CryptBot マルウェアのダウンロードページにリダイレクトする。

不正なサイトは様々なキーワードにより、非常に多くの数が開設されている。ほとんどの有名なソフトウェアのキーワードを検索すると多数の不正なサイトがページ内で上位に表示され、関連するファイルの検知数量も相当である。ネットサーフィン中に以下のようなページに遭遇した場合、絶対にファイルをダウンロード、または実行してはならない。

[図1]様々なキーワードで開設された不正なサイト

[図2] リダイレクトされたファイルのダウンロードページ

配布元サイトからダウンロードされるファイルは ZIP 形式の圧縮ファイルで、内部にはマルウェアを暗号化して圧縮したもう一つの ZIP ファイルとパスワードが書かれているテキストファイルが入っている。圧縮ファイル名はユーザーが検索したキーワードで構成されているため、正常なプログラムと誤認することがある。内部にパスワードが記載されたテキストファイルには、圧縮解除用パスワードとともに ASCII Art が存在するという特徴がある。

[図3] txt ファイル内部の圧縮解除用パスワードと ASCII Art

圧縮ファイルのファイル名はユーザーが検索したキーワードと同じだが、実際のマルウェア実行ファイルは、以下のようにインストールファイルに偽装したファイル名を持つ。

  • setup_x86_x64_install.exe
  • Mainsetupv1.0.exe
  • newfullserup.exe
  • Setup.exe
  • x32_x64_mainsetup.exe
  • main-setupfile.exe

このマルウェアは、従来は 7z SFX のアウトラインで配布されていたが、最近では完全に異なるアウトラインで配布されていることが確認された。弊社ではこのパックのタイプを「MalPE」と命名して対応中であり、Glupteba、Raccoon Stealer、Nemty Ransomware 等、様々なマルウェアがこのアウトラインでパックし、配布された履歴が存在し、現在も頻繁に使用されているパック方式の一つである。

[図4] パック方式別のプロパティの比較(左:7z SFX 右:MalPE)

MalPE パック方式のサンプルは、アウトライン的には以下のようにランダムな文字列が存在するランダム名のリソース項目と String Table リソースを持つという特徴がある。これは配布のたびに毎回ランダムに変更され、アンチウイルス製品による検知を回避するためであると推定できる。

[図5] MalPE サンプルリソース情報

このパッカーは、実行すると仮想メモリの割り当て領域に「シェルコード + PE バイナリ」構造のデータをデコードおよびコピーしたあとに実行する。その後、シェルコードは PE バイナリをプロセスハロウイング(Process Hollowing)の手法によって実行する。大多数のマルウェアがこれと類似した方式によって内部の実際の不正なデータを隠蔽している。

[図6] MalPE パッカー内部のシェルコード
[図7] MalPE パッカー内部の PE バイナリ

CryptBot マルウェアは感染 PC の情報と各種ユーザー情報を奪取してサーバーに送信し、追加のマルウェアをダウンロードしてインストールする。追加でダウンロードされるマルウェアは主に ClipBanker マルウェアであり、Formbook、SmokeLoader 等のマルウェアの配布も確認された。

[図8] C2 送信および追加のマルウェアダウンロード
[図9] C2 に送信されるユーザー情報

現在追加でダウンロードされるマルウェアは、従来の CryptBot が使っていた 7z SFX 方式のパックをそのまま使用している。このマルウェアは ClipBanker マルウェアと、更に別の 7z SFX ファイルをドロップして実行する。この 7z SFX ファイルは単純に特定の C2 に接続した後、自己削除する機能を行う。これは、感染 PC の数量および IP を確認するための行為であると判断される。7z SFX から AutoIt へとつながるこのパックに関連する解析内容は、以前のブログで詳細に説明している。

[図10] IP 情報の送信

一般的な CryptBot 関連の感染フローを図で要約すると、以下の通りとなる。追加でダウンロードされるサンプルは攻撃者の意図により、いつでも変更が可能である。

[図11] マルウェアの感染フロー

攻撃者はアンチウイルス製品の検知を回避するために、様々なアウトラインでマルウェアをパックして配布しているものと判断でき、今後また別のパック方式を使用して配布する可能性もある。ASEC では関連する攻撃プロセスを綿密にモニタリングしており、変種が発生するたびに素早く対応している。ソフトウェアは必ず公式の配布元からダウンロードしなければならず、クラック等の違法プログラムの使用は避けなければならない。

現在 AhnLab V3 プロダクトラインでは、MalPE タイプと 7z SFX タイプの CryptBot マルウェアに対して、どちらも以下のような Generic 検知によって遮断している。

[検知名]

MalPE アウトライン
Win-Trojan/MalPeP.mexp
Trojan/Win.MalPE.R424458

7z SFX アウトライン
Trojan/BAT.CryptLoader.S1531
Execution/MDP.Scripting.M3728

[IOC 情報]

1dd7d594dc2c9a017ec5e11602ebc37e
3d1e5706bdb597866e264e523a235905

hxxp://nimyol77[.]top/index[.]php
hxxp://morzcm07[.]top/index[.]php
hxxp://noirki10[.]top/download[.]php?file=lv[.]exe
hxxp://noirki10[.]top/downfiles/lv[.]exe
hxxp://nimjso71[.]top/index[.]php
hxxp://morzcm07[.]top/index[.]php
hxxps://iplogger[.]org/1QvMa7

Categories: マルウェアの情報