ViperSoftX info-stealing malware now targets password managers
2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。
ワールドワイド・ターゲティング
ViperSoftX は、感染させたコンピュータから、さまざまなデータを盗み出す情報窃取型マルウェアである。また、このマルウェアは、Chrome ブラウザに VenomSoftX という不正なエクステンションをインストールすることでも知られている。そして、Trend Micro の最新の分析結果では、対象となるブラウザに Brave/Edge/Opera/Firefox も含まれるようになったという。
このマルウェアは、JavaScript ベースの RAT (remote access trojan) および暗号通貨ハイジャッカーとして、2020年に初めて文書化されたものだ。しかし、2022年11月に Avast は、ViperSoftX を強化した新バージョンが出回っていると報告している。
その当時の Avast は、2022年1月〜11月に、同社のクライアントに対する 93,000件の攻撃を検知/阻止したが、ほとんどの被害者が米国/イタリア/ブラジル/インドに居住していると述べていた。
そして今週には Trend Micro が、ViperSoftX はコンシューマとエンタープライズの双方をターゲットにしており、検出された活動の 50% 以上が、オーストラリア/日本/米国/インド/台湾/マレーシア/フランス/イタリアに集中していると報告した。
研究者たちの観察によると、このマルウェアは通常、ソフトウェアのクラック版・アクティベーター/キー・ジェネレーターとして登場し、正規だと見えるソフトウェアの中に潜んでいるとのことだ。
拡大する標的
Avast が文書化したバージョンでは、VenomSoftX は Blockchain/Binance/Kraken/eToro/Coinbase/Gate.io/Kucoino などの暗号ウォレットをターゲットとしていた。しかし、Trend Micro は発見した最新の亜種では、以下の追加ウォレットからも、暗号通貨を盗み出す機能が強化されている:
- Armory
- Atomic Wallet
- Binance
- Bitcoin
- Blockstream Green
- Coinomi
- Delta
- Electrum
- Exodus
- Guarda
- Jaxx Liberty
- Ledger Live
- Trezor Bridge
- Coin98
- Coinbase
- MetaMask
- Enkrypt
特に興味深いのは、ViperSoftX が、1Password と KeePass 2 という、2種類のパスワード・マネージャーに関連するファイルをチェックし、ブラウザ・エクステンションに保存されているデータを盗み出そうとしていると、Trend Micro が報告していることだ。
研究者たちは、このマルウェア が、KeePass の脆弱性 CVE-2023-24055 を悪用し、保存されたパスワードを平文で取り出しているのかどうかを確認したが、その証拠は見つからなかった。しかし、Trend Micro は、「このマルウェアがパスワード・マネージャーを検出した場合には、攻撃の後段における悪意の活動で、それらを標的にする可能性がある」と、BleepingComputer に述べている。
同社は、「現時点では、コンフィグレーション・ファイルを取得して集めたデータを送信する以外に、このマルウェアのコードから収集できる、詳細情報は存在しなかった。そのコード内の KeePass セクションは、外部研究者のレポートには存在しなかったので、それが後に追加されたものであることが分かっている」と語っている。
Trend Micro は、「ウォレットやパスワードの設定情報を探索した後に、それが存在する場合には、C2 サーバに送信することは明らかだ。しかし、我々が調べている別の視点は、さらなる機能を進めるためのリモート機能として機能する、別のコード/コマンドのセットを受信する可能性だ。なぜなら、このマルウェアは、バックドアのように動作する能力を持っているからだ」と指摘している。
適切に保護するためには
ViperSoftX の新バージョンは、いくつかの検出防止/分析防止および、ステルス・ブースト機能を採用している。そこでは、DLL サイドローディングを用いて、信頼できるプロセスのコンテキストを用いてターゲット・システム上で実行され、アラームの発生を回避することから始められている。
また、マルウェアが着信すると、感染ルーチンを進める前に、VMWare や Process Monitor などの仮想化ツール/監視ツールの存在と、Windows Defender/ESET などのアンチウイルス製品の存在をチェックしている。
このマルウェアは、コードを暗号化するために Byte Mapping を使用しており、シェルコードのバイトの配置を再マッピングし、正しいマップを持っていない場合の復号化と解析を、複雑で時間のかかるものにしている。
Trend Micro は、「それぞれの DLL サイドローダーが、実行ファイルとバイトマップの独自のペアを持っていることを発見した。したがって、復号化を試みても、別の ViperSoftX 関連の実行ファイルと一緒に使用すると、不正に再配置されたシェルコードが返される。後者には、正しいバイトマップが含まれているため、正しい DLL がなければシェルコードは復号化されない」と説明している。
さらに ViperSoftX は、Web ブラウザ上に新しい通信ブロッカーを搭載し、C2 インフラの分析や、悪質なトラフィックの検出を、難しくしているという。
このブログ内を、ViperSoftX で検索してみたら、2022/11/21 の「Chrome の悪意のエクステンション VenomSoftX:Google Sheets を装い暗号通貨を窃取 」という記事が見つかりました。Google Sheets はアプリ形式で提供されますが、エクステンションとして提供されると誤解したユーザーが、暗号通貨を窃取されたようです。その ViperSoftX が進化し、パスワード・マネージャーである KeePass や 1Password などへの攻撃を試行しているようです。よろしければ、関連記事として 2023/04/13 の「LastPass 侵害を再考する:そこから学ぶことがタクサンあるはず」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.