Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?

YouTube Videos Distributing Aurora Stealer Malware via Highly Evasive Loader

2023/04/18 TheHackerNews — サイバー・セキュリティ企業の Morphisec が The Hacker News に共有したのは、情報スティーラー型マルウェア Aurora の配信に使用される in2al5d p3in4er  (invalid printer) という、きわめて検出回避能力の高いローダーの内部構造に関するレポートだ。このレポートで、サイバー・セキュリティ研究者たちは、「in2al5d p3in4er ローダーは、Embarcadero RAD Studio でコンパイルされ、高度なアンチ VM (仮想マシン) 技術を使って、エンドポイント・ワークステーションを標的にしている」と説明している。


Aurora は、2022年後半に登場した Go ベースの情報スティーラーだ。他のアクターにコモディティ・マルウェアとして提供され、YouTube 動画や SEO 対策された偽のクラックド・ソフトウェアの、ダウンロード・サイトを通じて配布されている。

YouTube 動画の説明文にあるリンクをクリックした被害者は、おとり Web サイトにリダイレクトされ、正規ユーティリティに見えるマルウェアを、ダウンロードするよう誘導される。

この Morphisec が分析したローダーは、システムにインストールされているグラフィックカードのベンダー ID を照会し、許可されたベンダー ID のセット (AMD/Intel/NVIDIA) と比較するよう設計されている。値が一致しない場合は、ローダーは自動的に停止する。

この値が一致すると、ローダーによるペイロードの復号化が行われ、Process Hollowing と呼ばれる技術が用いられ、sihost.exe という正規のプロセスにインジェクトされる。また、一部のローダー・サンプルは、復号化されたペイロードを書き込むためのメモリを確保し、そこから起動させることもあるようだ。

セキュリティ研究者である Arnold Osipov と Michael Dereviashkin は、「インジェクションの過程で、すべてのローダー・サンプルは、必要な Win API を動的に解決し、XOR キー in2al5d p3in4er を使用して、これらの名前を復号化する」と説明している。

Aurora Stealer Malware


このローダーの、もう一つの注目すべきポイントは、Embarcadero RAD Studio を用いて、複数のプラットフォーム用の実行ファイルを生成することで、検出回避を可能にしている点だ。

Morphisec は、「VirusTotal で最も検出率が低いものは、Embarcadero の新しい Clang ベースの C++ コンパイラ BCC64.exe を使ってコンパイルされている」と述べている。それにより、サンドボックスと仮想マシンを回避する能力を得ていると、同社は指摘している。

Morphisec は、「このコンパイラは、’Standard Library’ (Dinkumware) や ‘Runtime Library’ (compiler-rt) といったコードベースを使用し、エントリポイントや実行フローを変更する最適化コードを生成する。それにより、セキュリティ・ベンダーの指標である、悪意のコード/不審なコードのブロックから構成されるシグネチャなどを突破していく」と述べている。

つまり、今回の調査で明らかになったのは、in2al5d p3in4er の背後にいる脅威アクターは、ソーシャル・エンジニアリングの手法を活用し、YouTube をマルウェアの配布チャネルとして採用し、ターゲットを偽サイトに誘導してスティーラー・マルウェアを配布するという、インパクトの強いキャンペーンを行っているということだ。

Intel 471 は、バインダー・ツールを使って、一般的なソフトウェアに見せかけた情報スティーラーを配布するサービスとして、月額 $300 で販売されている別のマルウェア・ローダー AresLoader を発見した。このローダーは、ロシアのハクティビズムと関係のあるグループにより開発された疑いがある。

2023年1月以降に、AresLoader を使用して拡散された著名なマルウェア・ファミリーには、Aurora Stealer/Laplas Clipper/Lumma Stealer/Stealc/SystemBC などがある。

YouTube を悪用するサイバー攻撃が、徐々に増えているように思えます。これだけの視聴者が集まるサービスですから、攻撃する側としても価値のあるプラットフォームだと認識しているはずです。以下に、最近の YouTube に関連するキャンペーンを並べてみましたが、情報スティーラー系が多いですね。

2023/02/23:S1deload 情報スティーラー:YouTube が標的
2023/02/21:Stealc:YouTube 動画をルアーに使用
2022/10/04:Tor トロイの木馬版:YouTube チャネルから配布
2022/09/15:YouTube が標的:RedLine スティーラーは危険だ!

%d bloggers like this: