Google Translate アプリを装う Windows マルウェアが登場:1ヶ月の潜伏を経て発症

Windows malware delays coinminer install by a month to evade detection

2022/08/29 BleepingComputer — Google Translate/MP3 Downloader を装う新たな悪意のキャンペーンにより、暗号通貨マイニング・マルウェアが 11ヶ国に配布されていることが判明した。この偽のアプリケーション群は、正規のフリーソフトウェア・サイトを通じて配布されている。そのため、サイトの一般訪問者に対して、また、検索エンジンを介して、悪意のアプリケーションを広められていることになる。


Check Point のレポートによると、このマルウェアは Nitrokod という開発者により作成されたものであり、一見するとマルウェアではなく、広告どおりの機能を提供しているように見えるという。

ただし、このソフトウェアは、検出を回避するという目的のために、悪意のマルウェア・コンポーネントのインストールを、最大で1ヶ月は遅らせるとのことだ。

The Nitrokod website
Nitrokod の Webサイトのトップページ

残念ながら、Nitrokod が提供する製品は、Google の検索結果で上位にランクされているため、この Web サイトは特定のユーティリティを求めるユーザーを狙う、優れたトラップとして機能している。

BleepingComputer は、記載されている連絡先アドレスを介して、Nitrokod の管理者にコンタクトを取ったが、まだコメントは得られていない。

そして、Check Point が発見したように、Nitrokod の Google Translate Applet も Softpedia にアップロードされ、ダウンロード数は 112,000 以上に達している。

malware app on softpedia
Softpedia にアップロードされたマルウェア・アプリ (Check Point)

感染経路

Nitrokod の Web サイトから、ユーザーがダウンロードできる全てのプログラムは、パスワードで保護された RAR で受信される。この RAR は、AV 検出を回避するための手段であり、選択したアプリにちなんだ名前の実行ファイルを含んでいる。

そのファイルを実行すると、ユーザーのシステムには、ソフトウェアと2つのレジストリ・キーがインストールされる。

Profiling the host and sending details to C2
ホストのプロファイリングと C2 への詳細送信 (Check Point)

このソフトウェアは、疑惑の目を向けさせないために、また、サンドボックス分析を阻止するために、感染から5日目に Wget 経由で取得する、別の暗号化された RAR ファイルからドロッパーを起動する。

続いて、このソフトウェアは PowerShell コマンドを用いて、すべてのシステム・ログをクリアする。さらに 15日後に、intelserviceupdate[.]com から、次の暗号化された RAR を取得する。

Timeline of infection stages
感染段階のタイムライン (Check Point)

次の段階のドロッパーは、アンチウイルス・ソフトウェアの存在を確認し、仮想マシンに属する可能性のあるプロセスを検索する。そして最終的に、ファイアウォール・ルールと Windows Defender の除外を追加する。

Firewall rule to excempt malware communications from scrutiny
マルウェアの通信を監視対象から除外するファイアウォール・ルール (Check Point)


対象となるデバイスで、最終的なペイロードのための準備ができたので、このプログラムは最後のドロッパーをロードする。そのドロッパーは、XMRig マイニング・マルウェアと、コントローラー、設定情報を取り込んだ “.sys” ファイルを含む、別の RAR ファイルを取得する。

このマルウェアは、デスクトップとノート PC の、どちらで実行されているのかを判断する。そして、C2 (nvidiacenter[.]com) に接続し、HTTP POST リクエストを介して、完全なホストシステム・レポートを送信する。最終的に、アクティベートの可否/使用する CPU パワー/C2 に再度 ping するタイミング/発見されたときの終了方法などの指示が、C2 から送られるようになる。

The complete attack chain diagram
完全な攻撃チェーン図 (Check Point)

安全を確保するには

一般的に、クリプトマイニング・マルウェアは、ハードウェアへのストレス/オーバーヒートを引き起こすことで、ハードウェアにダメージを与える。また、CPU リソースを浪費することで、コンピュータの性能に影響を与える可能性があるため、リスクとなると捉えるべきだ。

さらに言うなら、Check Point が発見したマルウェア・ドロッパーは、最終的なペイロードを、より危険なペイロードに、いつでも交換できる。

Google Translate ツールのデスクトップ・バージョンといった、元の開発者が公式にリリースしていないアプリを、ダウンロードするのは避けるべきだろう。それが、自分自身を守るために必要なことだ。

最近のマルウェアは、感染後の振る舞いが、どんどんと狡猾になっていましね。この記事で紹介されているディレイ発症ですが、初めて気づいたのは 2022年4月20日の「Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す」を訳したときでした。つまり、Google Play での審査期間はじっとしていて、その後に動き出すというパターンです。それが、Nitrokod のマルウェアを混入したアプリにも採用されているということは、それなりの成果を上げていると捉えるべきなのでしょう。さらに、ドロッパーと C2 サーバの連携も、とても複雑になっていて、スティルス性を高めています。とにかく、身元のハッキリしないアプリは、ダウンロードしないことですね。

%d bloggers like this: