Windows のフェイク・アップデートが登場:Aurora 情報スティーラーをプッシュしている

Fake in-browser Windows updates push Aurora info-stealer malware

2023/05/10 BleepingComputer — 先日に発見された不正広告キャンペーンは、ブラウザ内の Windows アップデート・シミュレーションでユーザーを騙し、情報窃取マルウェア Aurora を配信するものだ。Golang で書かれた Aurora は、広範な機能を持ち、アンチウイルス検出率が低い情報シティーラーとして、1年以上も前から各種ハッカー・フォーラムで公開されている。Malwarebytes の研究者たちによると、このマルバーター作戦は、トラフィックの多いアダルト・コンテンツの Web サイト上のポップ・アンダー広告を用いて、そこを訪れた潜在的な被害者を、マルウェア提供場所へとリダイレクトさせるものだという。

それは、Windows アップデートではない

Popunder 広告は、アクティブなブラウザ・ウィンドウの背後で起動する、安っぽいポップアップ広告だが、メインのブラウザ・ウィンドウを閉じられるまで、ユーザーからは隠れたままである。

2022年12月に Google は、数十万人の訪問者と数千万回の不正な広告インプレッションを集めた広告詐欺キャンペーンで、各種の Popunder が使用されたと報告している。

Malwarebytes が発見した最近の事例では、30,000 人近いユーザーがリダイレクトされ、600人近くがスティーラー・マルウェアをダウンロードしてインストールするという、影響力は低いものだという。

しかし、この脅威アクターは、Windows のシステム・アップデート画面を模したフルスクリーン・ブラウザ・ウィンドウを表示させるという、想像力に富んだアイデアを思いついた。

Fake Windows update
Fake Windows update (Malwarebytes)

研究者たちは、このキャンペーンに使用された 10以上のドメインを追跡したところ、その多くがアダルト・サイトを装っており、偽の Windows アップデートをシミュレートしていた:

  • activessd[.]ru
  • chistauyavoda[.]ru
  • xxxxxxxxxxxxxxx[.]ru
  • activehdd[.]ru
  • oled8kultra[.]ru
  • xhamster-18[.]ru
  • oled8kultra[.]site
  • activessd6[.]ru
  • activedebian[.]ru
  • shluhapizdec[.]ru
  • 04042023[.]ru
  • clickaineasdfer[.]ru
  • moskovpizda[.]ru
  • pochelvpizdy[.]ru
  • evatds[.]ru
  • click7adilla[.]ru
  • grhfgetraeg6yrt[.]site

いずれも、”ChromeUpdate.exe” という名前のファイルをダウンロードさせ、フルスクリーンのブラウザ画面を表示するように偽装していたが、それでも一部のユーザーは騙され、不正な実行ファイルを導入していたという。

Downloaded file
Downloaded file (Malwarebytes)
新たなマルウェア・ローダー

この Chrome のアップデータとされるものは、Invalid Printer と呼ばれる FUD (fully undetectable) マルウェア・ローダーであり、今回の脅威アクターが独占的に使用しているようだ。

Malwarebytes によると、アナリストたちが Invalid Printer を発見したときには、Virus Total 内の全てのアンチウイルス・エンジンは、悪意のものとしてフラグを立てなかったという。しかし、その数週間後に、Morphisec の関連レポートが発表されたことで、検出率が上昇し始めた。

Malware loader code snippet
Malware loader code snippet (Malwarebytes)

Invalid Printer は、最初にホストのグラフィック・カードをチェックし、仮想マシンまたはサンドボックス環境で実行されているかどうかを判断する。そして、このチェックをパスした場合に、Aurora 情報窃取ソフトのコピーを解凍/起動することが判明している。

Payload carried by 'Invalid Printer'
Payload carried by ‘Invalid Printer’ (Malwarebytes)

Malwarebytes は、今回のキャンペーンの背後にいる脅威アクターは、検出が困難なツールを作成することに関心があるとコメントしている。そして、検出エンジンの反応を確認するために、Virus Total に新しいサンプルを繰り返してアップロードしている。

Malwarebytes の Director of Threat Intelligence である Jérôme Segura は、新しいサンプルが Virus Total に投稿されるたびに、それらがトルコのユーザーからのものであり、大半のファイル名はコンパイラに由来 (build1_enc_s.exeなど) していることに気づいたという。

VirusTotal uploads from the threat actor
VirusTotal uploads from the threat actor (Malwarebytes)

さらに調査を進めると、この脅威アクターは、Amadey パネルも使用していることも分かった。そして、文書化されている偵察結果や、マルウェア・ロードツールの使用を示す可能性があること、また、ウクライナ人をターゲットにした、技術サポート詐欺を実行していることが判明した。

Malwarebytes が提供しているものには、マルウェアのインストールと動作の技術的分析および、企業やセキュリティ・ベンダーがユーザーを保護するために使用できる侵害指標などがある。

Golang で書かれた Aurora マルウェアですが、 その理由については 2021/07/27 の「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」が参考になるかもしれません。また、Aurora ですが、2023/04/18 の「Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?」で、Golang ベースだと指摘されていました。よろしければ、以下の関連記事も、ご参照ください。

2023/01/30:Titan Stealer:Golang で検出を巧みに回避
2023/01/24:DragonSpark は中国 APT:Golang で検出を回避
2022/09/28:Chaos は Golang ベースのマルウェア

%d bloggers like this: