Cryptocurrency

ロシア、トルコ、ウクライナなどユーラシア地域の28,000人以上が、暗号通貨を盗む大規模なマルウェアキャンペーンの影響を受けた。

このマルウェアキャンペーンは、YouTubeの動画や不正なGitHubリポジトリを通じて宣伝される正規のソフトウェアを装い、被害者は感染を開始させるパスワードで保護されたアーカイブをダウンロードする。

サイバーセキュリティ企業のDr.Webによると、このキャンペーンでは、海賊版のオフィス関連ソフトウェア、ゲームのチートやハッキング、さらには自動取引ボットなどを使ってユーザーを欺き、悪意のあるファイルをダウンロードさせる。

「Dr.Webは、「このマルウェアキャンペーンは、合計で28,000人以上に影響を及ぼしており、その大半はロシアの住民です。

「ベラルーシ、ウズベキスタン、カザフスタン、ウクライナ、キルギス、トルコでもかなりの数の感染が確認されている。

Website promoting localized (Russian) downloads of Microsoft Excel
Microsoft Excelのローカライズ(ロシア語)ダウンロードを促進する悪質なウェブサイト
ソースはこちら:Dr. Web

感染経路

感染はまず、自己解凍型アーカイブを開くことから始まります。このアーカイブはパスワードで保護されているため、ダウンロード時にウイルス対策スキャンを回避することができます。

被害者が提供されたパスワードを入力すると、アーカイブはさまざまな難読化スクリプト、DLLファイル、およびメインペイロードのデジタル署名されたローダーを起動するために使用されるAutoITインタプリタをドロップします。

このマルウェアは、アナリストの環境で実行されているかどうかを確認するためにデバッグツールの存在をチェックし、見つかった場合は終了します。

次に、攻撃の後続ステージに必要なファイルを抽出し、Image File Execution Options(IFEO)テクニックを使用してWindowsレジストリを変更し、永続化します。

つまり、正規のWindowsシステムサービスだけでなく、ChromeやEdgeの更新プロセスも悪意のあるものに乗っ取り、これらのプロセスの起動時にマルウェアファイルが実行されるようにします。

Windows Recovery Serviceは無効化され、マルウェアのファイルやフォルダの「削除」と「変更」のパーミッションが剥奪され、クリーンアップが試みられなくなる。

その後、Ncatネットワーク・ユーティリティがコマンド・アンド・コントロール(C2)サーバーとの通信を確立するために使用されます。

このマルウェアは、実行中のセキュリティ・プロセスを含むシステム情報を収集することも可能で、Telegramボットを介してその情報を流出させます。

Complete attack chain
完全な攻撃チェーン
Dr. Web

財務への影響

このキャンペーンは、被害者のマシンに2つの主要なペイロードを配信します。1つ目は「Deviceld.dll」で、被害者の計算リソースを使用して暗号通貨を採掘するSilentCryptoMinerを実行するために使用される修正された.NETライブラリです。

2つ目のペイロードは「7zxa.dll」で、クリッパーとして動作し、Windowsのクリップボードにコピーされたウォレットアドレスを監視し、攻撃者の制御下にあるアドレスに置き換える、修正された7-Zipライブラリです。

Dr.ウェブは報告書の中で、28,000台の感染マシンから得られる可能性のあるマイニングの利益については明らかにしていないが、クリッパーだけで6,000ドル相当のトランザクションをハイジャックし、その金額を攻撃者のアドレスに横流ししていたことが判明している。

予期せぬ金銭的損失を避けるには、プロジェクトの公式ウェブサイトからのみソフトウェアをダウンロードし、Google検索で宣伝された結果をブロックするかスキップすること。

さらに、YouTubeやGitHub上の共有リンクにも注意が必要だ。これらのプラットフォームの正当性は、ダウンロード先の安全性を保証するものではない。