Posted By ATCP , 2024년 07월 19일

クラックに偽装したマルウェアの配布に注意(V3 Lite インストール妨害)

AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1]

クラックプログラムに偽装したマルウェアは主にウェブハードやブログ、Torrent を通じて配布され、多数のシステムが感染する傾向があり、感染したシステムは定期的なアップデートにより攻撃者から持続的に管理されるという特徴がある。

この事例で攻撃者は、V3 がインストールされているかどうかによってインストールするマルウェアを変えており、タスクスケジューラの登録によりマルウェアをアップデートしながら持続性を維持していることが確認できる。このような持続性の管理手法は、タスクスケジューラを駆除する V3 がインストールされている環境では無効だが、タスクスケジューラの駆除を行わない環境ではシステム内に存在するマルウェアを除去してもさらなるマルウェアの感染を可能にする。

そのため、攻撃者は V3 のインストール自体を妨害する試みを続けている。以下は、クラックプログラムに偽装したマルウェアが最終的に XMRig をインストールするプロセスで、「kill-targets」オプションに V3 Lite のインストールプロセスを指定した例である。このように、攻撃者は持続性を維持するためにセキュリティ製品を直接回避する方法ではなく、すでに V3 Lite がインストールされていない環境に V3 Lite がインストールされることを防ぐ方法を選択したことを確認できる。

“kill-targets”: “V3Lite_Setup.exe,V3Lite_Setup (1).exe,V3Lite_Setup (2).exe,openssl.exe,natsvc.exe,smmgr.exe,v_service.exe,v_member.exe,akdanhall-installer-build-433.msi,akdanhall-installer-build-433 (1).msi,akdanhall-installer-build-433 (2).msi”

[図1] ファイル名の変更による V3 Lite インストール
(原本ファイル名：V3Lite_Setup.exe、テスト修正ファイル名：V3Lite_Setup_Temp.exe)

しかし、XMRig の「kill-targets」オプションはプロセス名をベースに動作するため、V3 がインストールされていない感染システムではインストーラー名を変更することで V3 をインストールが可能だ。(「V3Lite_Setup.exe、V3Lite_Setup (1).exe、V3Lite_Setup (2).exe」以外のファイル名はすべて可能) [図1]は、コインマイナーマルウェアに感染した状況でインストーラー名を変えて V3 をインストールしている様子であり、同じ感染環境で元のインストーラー名である「V3Lite_Setup.exe」でインストールを試みるとプロセスがすぐに終了され、ユーザーは UI やインストール結果を一切確認できない。そのため、V3 Lite のインストールを試みた際に反応がない場合、このマルウェアに感染した可能性を疑い、ファイル名を変更して V3 Lite をインストールする必要がある。

ユーザーは、V3 製品をインストールすることでマルウェアの削除に加えてタスクスケジューラの駆除を行い、持続的な感染を遮断することが最も重要であり、定期的に製品を最新バージョンにアップデートすることでマルウェア感染を事前に防ぐことが効果的である。クラックプログラムに偽装したマルウェアはアンチウイルスプログラムの削除を誘導するケースも多数存在するため、資料共有サイトやブログなどの経路でダウンロードしたプログラムの実行には注意を払う必要がある。