MyKings ボットネット:クリップボード情報を盗み出して $24 million を稼ぐ?

MyKings botnet operators already amassed at least $24 million

2021/10/13 SecurityAffairs — Avast Threat Labs の研究者たちは、MyKings ボットネット (別名:Smominru または DarkCloud) がまだ生きており、そのオペレータがクリプト・マイニング活動により、巨額の資金を稼いでいることを報告した。2019年以降、MyKings のオペレーターは、Bitcoin/Ethereum/Dogecoin などで、少なくとも $24 million を蓄えているとのことだ。

しかし、専門家は、このボットネットが 20種類以上の暗号通貨を使用していると指摘しており、そのため、金銭的利益の総額は$24 million よりも大きくなる可能性がある。

専門家が発表した分析結果には、「Clipboard Stealer とは、クリップボードに特定のコンテンツがあるかどうかをチェックし、事前に定義された正規表現にマッチした場合に、それを操作するという、いたってシンプルなものだ。このマルウェアは、ユーザーがコピーしたものを貼り付けるという、当たり前の事実を利用している。そして、全く違うものをコピー&ペーストしたことに気づくのは簡単が、ランダムな数字や文字で構成された長い文字列が、暗号ウォレットのアドレスのような、きわめて似た文字列に変更されていることに気づくには、特別な注意が必要だ」と記している。

彼らは、「この変換作業は、OpenClipboard/EmptyClipboard/SetClipboardData/CloseClipboard の各関数を使って行われる。この機能は非常に単純なものだが、このような単純な方法で、攻撃者が $24,700,000 以上を獲得したのは気になるところだ」と付け加えている。

このマルウェアは、2018年2月に Proofpoint の研究者たちが発見したものであり、ボットが EternalBlue エクスプロイトを利用して Windows コンピュータに感染し、Monero 暗号通貨のマイニングを行わせてきた。研究者によると、Smominru ボットネットは 2016年ころから活動しており、発見時には 52万6000台以上の Windows コンピュータに感染していた。

Avast の研究者たちは、2020年の初めから 6,700個のボットのユニークなサンプルを分析し、144,000人以上の Avast 顧客を、MyKings ボットネットを介した攻撃から保護してきたと主張している。感染の大半は、ロシア/インド/パキスタンで観測されている。

ボット作者が使用するメカニズムの1つは、キャンペーンで使用されるクリプト・ウォレットのアドレスを隠すことでだ。研究者たちは、「迅速な分析や正規表現による静的な抽出から保護するために、置換値を暗号化している。暗号化には非常にシンプルな ROT 暗号が使用されており、Key は -1 に設定されている」と分析している。

Avast の研究者たちは、ボットネットの運営者が Steam の取引詐欺でも収益を上げていることを発見した。彼らは、「この種の表現は、Steam のトレード・オファーのリンクにマッチするようになっている。Steamプラットフォームのユーザーは、トレード・オファーを作成して、通常はインベントリにあるゲーム内アイテムを、他のユーザーと取引することができる。取引可能なアイテムの価値は、わずか数セントから始まりますが、最も高価なアイテムは数百ドル、数千ドルで販売されている。クリップボード・スティーラーは、トレードオファーの URL を操作して受け取り側を変更し、Steam ユーザーとって未知の人にアイテムを送るようにしている」と述べている。

AVAST が発表したレポートには、IoC (Indicators of Compromise) も含まれている。

Clipboard Stealer という手口は、初めて聞きました。たしかに、クリップボードを経由して、何らかの意味のあるコンテンツが処理されるシチュエーションは多いはずです。ここで、なにかにマッチしたものを盗み出し、さらには、ユーザーが目視では判別できないものに置き換えて、さらなる攻撃に備えるという手法というわけです。

%d bloggers like this: