Posted By ,

ハッキングされた YouTube アカウントで拡散している RecordBreaker スティーラー

RecordBreaker は2022年に新登場したインフォスティーラーマルウェアであり、Raccoon スティーラーの新しいバージョンとして知られている。CryptBot、RedLine、Vidar などのインフォスティーラーマルウェアのように、主にソフトウェアのクラックおよびインストーラーに偽装して配布される代表的なマルウェアである。ASEC(AhnLab Security Emergency response Center)では、最近ハッキングされたものと推定される YouTube アカウントを通じて RecordBreaker が配布されていることを確認した。

1. 過去の配布事例

検索エンジンはマルウェアの配布に使用される代表的な攻撃ベクトルの一つである。ASEC では以下の過去ブログにて、検索エンジンを通じて配布されている RecordBreaker の配布事例を公開したことがある。

新種の情報窃取マルウェア、クラックツールに偽装して拡散中

検索エンジンで商用ソフトウェアのクラック、シリアル、インストーラーなどを検索したユーザーは、実際にはマルウェアがダウンロードされる偽装の配布ページにアクセスし、マルウェアをダウンロードしていた。

Figure 1. マルウェア配布ページ

最近は検索エンジン以外にも YouTube を通じてマルウェアが配布される事例が頻繁に確認されている。例えば、過去に RedLine インフォスティーラーを配布した攻撃者は、クラックプログラムのインストール方法を指導する映像と一緒に、クラックに偽装したマルウェアのダウンロードリンクをアップロードしたことがある。これ以外にも VALORANT のゲームハックに偽装し、実際には BlackGuard インフォスティーラーマルウェアを配布した事例も存在する。[1] [2]

Figure 2. VALORANT のゲームハックに偽装して BlackGuard を配布する動画

2. YouTube を通じた RecordBreaker の配布事例

ASEC では YouTube を通して拡散しているマルウェアをモニタリングしていたところ、ハッキングされたものと推定される YouTube アカウントを通じて RecordBreaker インフォスティーラーが配布されていることを確認した。以下は攻撃者が投稿したもので、映像の説明とコメントに Adobe Photoshop クラックをダウンロードできるリンクとガイドが記載されている。

Figure 3. 攻撃者が YouTube 映像と一緒にアップロードしたマルウェアのダウンロードリンク

YouTube を通じて配布される方式は頻繁に使用されているが、大半の攻撃者が新しいアカウントを生成してマルウェアリンクをアップロードしている。しかし、現在このアカウントには12万人以上の登録者がいる。また、マルウェア配布動画をアップロードする数日前までは正常に活動していた YouTuber であることから、攻撃者はこの YouTuber のアカウントを窃取した後、マルウェアのアップロードに使用したものと推定される。

Figure 4. マルウェアの配布に使用されたアカウント
Figure 5. 攻撃者がアップロードした動画と既存の動画

YouTube のリンクをクリックすると、MediaFire のダウンロードページが確認され、ユーザーはこのページからマルウェアが含まれた圧縮ファイルをダウンロードできる。ダウンロードされた圧縮ファイルは従来と同じくパスワードで暗号化されている。

Figure 6. MediaFire のダウンロードページ

3. RecordBreaker 解析

圧縮ファイルを解凍すると、従来の配布事例のように 700MB を超えるサイズの実行ファイル「Launcher_S0FT-2O23.exe」が確認できる。このファイルは、攻撃者が意図的に大容量のパディング領域を追加し、ファイルのサイズを大きくしたものである。これはセキュリティ製品を利用した収集および検知を回避するためのものと推定される。

Figure 7. 解凍後に生成されたマルウェア

「Launcher_S0FT-2O23.exe」は RecordBreaker インフォスティーラーマルウェアであり、実行すると C&C サーバーにアクセスして設定データと情報の窃取に必要な DLL ファイルをダウンロードする。

Figure 8. RecordBreaker のネットワーク上の振る舞い

RecordBreaker が実行されると、「machineId」を取得してマルウェアにハードコーディングされた値の「configId」を C&C サーバーに伝達する。その後、C&C サーバーから以下のような設定データーを伝達される。伝達されるデータには、情報の窃取に必要な DLL をダウンロードできるアドレスと、窃取するファイルのパスがある。

Figure 9. C&C サーバーから伝達される設定データ

RecordBreaker はシステムの基本情報およびインストールプログラムリスト、スクリーンショット、ブラウザに保存されたアカウント情報など、システムに保存された様々な情報を収集して窃取し、最終的には追加ペイロードをダウンロードしてインストールできる。以下の Fiddler ログを見ると、GitHub にアップロードされている2つの追加ペイロードをダウンロードし、実行したことが確認できる。

Figure 10. 窃取するファイルのパスとダウンロードする追加ペイロードのアドレス

ダウンロードされたファイルのうち「GUI_MODERNISTA.exe」は、様々なクラックファイルをダウンロードする機能を提供するプログラムであり、ユーザーに正常にクラックプログラムをダウンロードしたものと認知させ、マルウェアがインストールされたことについての確認を難しくする。

Figure 11. ダウンロードおよび実行されたクラックプログラム
Figure 12. GitHub にアップロードされているマルウェア

また別のファイルである「vdcs.exe」はコインマイナーマルウェアであり、攻撃者は感染システムに対する情報を収集した後、コインマイナーをインストールして感染システムのサポートで仮想通貨を採掘する。

4. 結論

最近、YouTube を通じて RecordBreaker を配布する事例が確認された。RecordBreaker は感染システムに保存されている様々なユーザー情報を収集して窃取するインフォスティーラーマルウェアであり、それ以外にも追加マルウェアをダウンロードしてインストールすることができる。

RecordBreaker は登録者数が10万人を超えるアカウントを通じて配布されているが、以前は正常に活動していたことから、このアカウントは攻撃者によってハッキングされたものと推定される。攻撃者は RecordBreaker を通じて感染システムの情報を収集しており、情報の窃取後にはコインマイナーを追加でインストールして仮想通貨を採掘している。

このように、様々なプラットフォームを通じてマルウェアがインストールされる恐れがあるため、違法プログラムをダウンロードする行為は控えなければならない。また、正規版のソフトウェアを使用することを日頃から心がけ、疑わしい Web サイトや P2P は利用しないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ASEC では、毎週配布量が多いマルウェアを選別し、自動解析システムで C&C 情報を確認し、AhnLab TIP サービスの Live C&C 情報を通じてこれらを提供している。C&C と推定される URL および IP 情報はマルウェアの解析および対応に活用することができる。

Figure 13. AhnLab TIP サービスの Live C&C で確認できる RecordStealer C&C アドレス

ファイル検知
– Infostealer/Win.RecordStealer.C5410598 (2023.04.13.02)
– Trojan/Win.Generic.C5403811 (2023.04.01.03)
– Trojan/Win.MSILKrypt.C5418981 (2023.04.27.03)

IOC
MD5
– 1cc87e637e55a2e6a88c745855423045 – RecordBreaker (Launcher_S0FT-2O23.exe)
– 116857ca1574a5a36da3bb0ddff32eac – クラックダウンローダー (GUI_MODERNISTA.exe)
– 803a1f3e984a9eaa56ac74a203096959 – コインマイナー (vdsds.exe)

ダウンロードアドレス
– hxxps://www.mediafire[.]com/file/0u0tldiluood47v/2O23-F1LES-S0ft.rar – 圧縮ファイル
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nss3.dll – 情報収集に使用される正常な DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll – 情報収集に使用される正常な DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/vcruntime140.dll – 情報収集に使用される正常な DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/mozglue.dll – 情報収集に使用される正常な DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/freebl3.dll – 情報収集に使用される正常な DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/softokn3.dll – 情報収集に使用される正常な DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/sqlite3.dll – 情報収集に使用される正常な DLL
– hxxps://github[.]com/jesus061031r/mooliik/releases/download/mooliik/vdsds.exe – コインマイナー
– hxxps://github[.]com/jesus061031r/mooliik/releases/download/mooliik/GUI_MODERNISTA.exe – クラックダウンローダー

C&C アドレス
– hxxp://212.113.119[.]153/ – RecordBreaker

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェアの情報

Tagged as: ,