AhnLab Security Intelligence Center (ASEC) の研究者は、トレント Web サイトからダウンロードした MS Office および Windows のクラック版を介してマルウェア カクテルを配布する進行中のキャンペーンを特定しました。
攻撃者は、ダウンローダー、CoinMiner、リモート アクセス トロイの木馬 (RAT)、プロキシ、AntiAV などのさまざまなマルウェア株を韓国のユーザーに配布しました。
Windows、MS Office、韓国で人気のツールであるハングルワードプロセッサなどの正規プログラムのクラック版を装って。
研究者たちはこう言った
韓国の研究者らは、報告によると、攻撃者は感染したシステムのタスク スケジューラに登録することでマルウェアをアップグレードしており、タスク スケジューラは PowerShell コマンドを実行してマルウェアをインストールしています。
タスク スケジューラが修復されない場合、新しいマルウェア株が繰り返しシステムにインストールされます。
ただし、V3 がマルウェアによってインストールされたタスクを修復するため、V3 をインストールしたユーザーはマルウェアを繰り返しインストールしても問題は発生しません。
インストールされたマルウェアにはアップデートを実行するタイプが含まれているため、タスク スケジューラに登録されている PowerShell コマンドが常に変更されるため、以前の URL をブロックした後も感染は継続します。
その結果、攻撃者は感染した韓国のシステムを制御し、プロキシとして利用したり、仮想通貨のマイニングを行ったりすることで、ユーザーの機密情報が盗難の危険にさらされることになります。
さらに、最近検出された MS Office のクラック版を装ったマルウェア配布事件は .NET を使用して開発され、難読化されていることが最近判明したと報告書は付け加えています。
難読化前は、以下の形式に従い、初回実行後に Telegram にアクセスしてダウンロード URL を取得していました。
最近配布されたマルウェアは、2 つの Telegram URL と 1 つの Mastodon URL で構成されており、それぞれの URL には、各プロファイルの Google ドライブまたは GitHub URL で使用される文字列が含まれていました。
さらに、GitHub と Google Drive からダウンロードされたデータは Base64 で暗号化された文字列であり、復号化すると、実際にはさまざまなマルウェア株をインストールする PowerShell コマンドでした。
ASECの研究者らによると、侵入されたシステムにインストールされていることが判明したマルウェアは以下の通りだという。
- オーク RAT: システム情報の収集、コマンドの実行、ファイル、レジストリ、プロセスのタスクなどの基本的なリモート コントロール機能をサポートします。また、キーロギングとウェブカメラを使用した情報漏洩機能も提供します。
- XMRig: システムが実行するプログラム (ゲーム、ハードウェア監視ユーティリティ、グラフィックス処理用プログラムなど) が大量のシステム リソースを占有する場合、検出を避けるためにマイニングを停止します。
- 3プロキシ: ファイアウォール ルールに 3306 ポートを追加し、正規のプロセスに 3Proxy を挿入するプロキシ サーバー機能を備えたオープンソース ツール。これにより、脅威アクターが感染したシステムをプロキシとして悪用できるようになります。
- ピュアクリプター: 外部ソースから追加のペイロードをダウンロードして実行します。
- AntiAV: セキュリティ プログラムが実行されるたびに、インストール フォルダー内の構成ファイルを常に変更することにより、セキュリティ プログラムが正常に動作するのを妨害し、妨げます。これにより、システムが他のコンポーネントの動作に対して脆弱な状態になります。
- アップデーター: マルウェアのダウンロードと永続性の維持を担当します。また、タスク スケジューラに登録して、システムの再起動後でも永続的に動作できるようにします。
ユーザーは、デバイスが感染するリスクを避けるために、不審なソースから海賊版またはクラックされたソフトウェアをダウンロードする場合は注意することをお勧めします。