Webコンテンツ

2020-11-16

Crack プログラムをダウンロードしたらマルウェアに感染してしまった？

本内容は、アンラボコリアより発表された内容を翻訳したものです。

--------------------------------------------------------------------------------------------

ASEC (AhnLab Security Emergency response Center) 分析チームは、ユーティリティプログラムの Crack 版ダウンロードサイトを装って情報流出型マルウェアを流布するフィッシングサイトを確認した。

フィッシングサイトは非常に巧妙に作成されており、偽サイトであることに気づきにくいため、注意が必要である。

Google で [ユーティリティプログラム名] と [クラック (Crack)] を一緒に検索すると、 [図 1] のように検索結果の上段に表示される。

[図 1] Crack 版を検索すると上段に表示されるフィッシングサイト

このフィッシングサイトにアクセスしたユーザーがページ下部のダウンロードリンク ([図 3]) をクリックするとマルウェアの配布サイトにアクセスし、最終的にマルウェアが含まれた圧縮ファイルをダウンロードするようになる。

[図 2] フィッシングサイト画面

[図 3] ダウンロードリンク

マルウェアは [ユーティリティプログラム名_特定のハッシュ値.zip] の形式でダウンロードされる。圧縮ファイルには情報流出型マルウェアが含まれた圧縮ファイル (SetupFile-86x-64xen.zip) と圧縮解除パスワードが記載された txt ファイル、マルウェアの実行を誘導する ReadMe.txt ファイルが格納されている。

[図 4] wondershare_ceccea53be6aa48d6199e175b0035715.zip の内部

ReadMe 文書には、現在実行中の Anti-Virus (AV)、ファイアウォールなどを終了するように促すメッセージが記載されている ([図 5] )。

このメッセージは一見 Keygen や Crack プログラムが有害なプログラムとして検知されることを回避するためのメッセージに見えるが、実際はマルウェア検知を回避する目的であると思われる。

[図 5] First-ReadMe–.txt ファイルの内部

SetupFile-86x-64xen.zip の圧縮解除のためにパスワードを入力すると、マルウェア (SetupFile-86x-64xen.exe) が作成される。マルウェアを実行すると [%temp%\IXP000.TMP] フォルダーに正常な Autoit スクリプト実行プログラム ([図 6] の lsass.com) とエンコードされた悪性 PE ファイルをドロップする。

その後 [c:\windows\system32\attrib.exe] を実行した後、エンコードされた PE ファイルをデコードしてインジェクションする。

[図 6] アンラボの動的分析システム RAPIT のプロセスツリー情報

デコードされた PE ファイルは、アンチサンドボックス (Anti-SandBox) 機能が搭載されている情報流出型マルウェアである。このマルウェアは以下の情報を確認し、一つでも満たす場合は自らのプロセスを終了する。

- GetSystemMetrics API を活用したスクリーン画面の確認機能 (スクリーンの横軸が1027より小さい場合)

- GetSystemInfo API を活用した CPU コア数の確認機能 (CPU コア数が一つの場合)

- レジストリキー情報を参照して CPU 名が [Xeon] の場合は自らを終了

- GlobalMemoryStatusEx API を活用した物理メモリの確認機能 (物理メモリが 2GB より小さい場合)

サンドボックス環境を確認後、ユーザー PC から次の情報を盗み取って Zip ファイルに圧縮し C&C サーバーに転送する。

- ブラウザのパスワード情報

- ブラウザの Cookie 情報

- 仮想通貨ウォレット情報

- ユーザー PC のデスクトップキャプチャイメージ

- PC の CPU、RAM、OS、キーボードレイアウト情報

- インストール済みソフトウェアリスト

上記のようなフィッシングサイトの特徴は、サイトにアップロードされているユーティリティプログラム (Adobe Photoshop CC 2020、DLL Files Fixer など) のCrack 版すべてが同一のマルウェア配布サイトへリダイレクトされるということである。すなわち、最終的に実行されるマルウェアはすべて同じである。

現在アンラボ V3 製品では、上記のマルウェアを以下の診断名で検知・遮断している。

[ファイル検知]

Dropper/Win32.AutoIt (2020.11.09.02)

[ビヘイビア検知]

Malware/MDP.Injection.M3495

[IOC]

<ファイル>

0893CE760326613FFE3E60098780C393

<フィッシングサイト>

piratesfile.com

haxpc.net

free4pc.org

hmzapc.com

<C&C アドレス>

http[:]//kirraadd03.top/index.php

上記のフィッシングサイト以外にも情報流出型マルウェアを流布するサイトの亜種が非常に多いと推定される。

ユーザーは違法な Crack プログラムダウンロードサイトへのアクセスを控え、正式版のソフトウェアを利用しなければならない。

Crack プログラムをダウンロードしたらマルウェアに感染してしまった？

本内容は、アンラボコリアより発表された内容を翻訳したものです。

--------------------------------------------------------------------------------------------

フィッシングサイトは非常に巧妙に作成されており、偽サイトであることに気づきにくいため、注意が必要である。

Google で [ユーティリティプログラム名] と [クラック (Crack)] を一緒に検索すると、 [図 1] のように検索結果の上段に表示される。

[図 1] Crack 版を検索すると上段に表示されるフィッシングサイト

[図 2] フィッシングサイト画面

[図 3] ダウンロードリンク

[図 4] wondershare_ceccea53be6aa48d6199e175b0035715.zip の内部

ReadMe 文書には、現在実行中の Anti-Virus (AV)、ファイアウォールなどを終了するように促すメッセージが記載されている ([図 5] )。

[図 5] First-ReadMe–.txt ファイルの内部

その後 [c:\windows\system32\attrib.exe] を実行した後、エンコードされた PE ファイルをデコードしてインジェクションする。

[図 6] アンラボの動的分析システム RAPIT のプロセスツリー情報

- GetSystemMetrics API を活用したスクリーン画面の確認機能 (スクリーンの横軸が1027より小さい場合)

- GetSystemInfo API を活用した CPU コア数の確認機能 (CPU コア数が一つの場合)

- レジストリキー情報を参照して CPU 名が [Xeon] の場合は自らを終了

- GlobalMemoryStatusEx API を活用した物理メモリの確認機能 (物理メモリが 2GB より小さい場合)

サンドボックス環境を確認後、ユーザー PC から次の情報を盗み取って Zip ファイルに圧縮し C&C サーバーに転送する。

- ブラウザのパスワード情報

- ブラウザの Cookie 情報

- 仮想通貨ウォレット情報

- ユーザー PC のデスクトップキャプチャイメージ

- PC の CPU、RAM、OS、キーボードレイアウト情報

- インストール済みソフトウェアリスト

現在アンラボ V3 製品では、上記のマルウェアを以下の診断名で検知・遮断している。

[ファイル検知]

Dropper/Win32.AutoIt (2020.11.09.02)

[ビヘイビア検知]

Malware/MDP.Injection.M3495

[IOC]

<ファイル>

0893CE760326613FFE3E60098780C393

<フィッシングサイト>

piratesfile.com

haxpc.net

free4pc.org

hmzapc.com

<C&C アドレス>

http[:]//kirraadd03.top/index.php

上記のフィッシングサイト以外にも情報流出型マルウェアを流布するサイトの亜種が非常に多いと推定される。

ユーザーは違法な Crack プログラムダウンロードサイトへのアクセスを控え、正式版のソフトウェアを利用しなければならない。

AhnLab

Crack プログラムをダウンロードしたらマルウェアに感染してしまった？

関連コンテンツ

Crack プログラムをダウンロードしたらマルウェアに感染してしまった？

関連コンテンツ