マルウェア
ビデオ会議アプリ「Zoom」に便乗し不正マイニングを狙うサイバー犯罪者
トレンドマイクロでは、ビデオ会議アプリ「Zoom」の正規インストーラとマルウェアをバンドルし、Zoomを利用したいユーザをだまして不正にコインマイナーをインストールさせようとするサイバー犯罪者の活動を確認しました。新型コロナウイルス(COVID-19)の蔓延に対する懸念が高まっている中、多くの企業が在宅勤務に移行しています。
トレンドマイクロでは、ビデオ会議アプリ「Zoom」の正規インストーラとマルウェアをバンドルし、Zoomを利用したいユーザをだまして不正にコインマイナーをインストールさせようとするサイバー犯罪者の活動を確認しました。新型コロナウイルス(COVID-19)の蔓延に対する懸念が高まっている中、多くの企業が在宅勤務に移行しています。サイバー犯罪者はこのような最近の状況に乗じ、テレワークには欠かせないビデオ会議アプリに便乗してマルウェアを拡散させようとしているものと言えます。この脅威について、トレンドマイクロでは既にZoom社と連絡をとり、適切な対応についての協力を行っています。
図1:Zoomインストーラにバンドルされたコインマイナーのコード部分
■不正ファイルの解析
この不正なZoomインストーラは、Zoomの公式ダウンロードサイトではなく、不正なWebサイトに存在していたと考えられます。不正サイトへ誘導された利用者は、正規のZoomインストーラではなく、プログラミング言語「AutoIt」でコンパイルされたマルウェア(「Trojan.Win32.MOOZ.THCCABO」として検出対応)をダウンロードしてしまうことになります。マルウェアファイル内には正規のZoomインストーラと共に、コインマイナーが含まれています。これによりZoomをインストールしようとしたユーザは、意図せずコインマイナーをインストールされてしまい、不正マイニングの被害に遭うことになります。
マルウェアは実行されると、感染端末内で以下のファイルを作成します。
| 64.exe | コインマイナー「Win64.MOOZ.THCCABO」として検出される |
| asacpiex.dll (first 5 bytes are NULL) | コインマイナー「Win64.MOOZ.THCCABO」を含んだアーカイブファイル |
| CR_Debug_Log.txt (asacpiex.dll with the first 5 bytes replaced) | コインマイナー「Win64.MOOZ.THCCABO」を含んだアーカイブファイル |
| CL_Debug_Log.txt | 7-zip アーカイバ |
| SystemCheck.xml | スケジューリングタスクとして使用される |
| ZoomInstaller.exe | 正規のZoomインストーラ・バージョン4.4.0.0 |
図2:バンドルされたファイルの一覧
図3:各ファイルの展開フロー
「asascpiex.dll」は実際には圧縮ファイルですが、最初の5バイトがNULL(何もない状態)になっています。さらにオリジナルのファイル署名「0x37 0x7A 0xBC 0xAF 0x27」の判別を困難にするため「0x00」に置き換えられ、「CR_Debug_log.txt」としてコピーされます。「CL_Debug_log.txt」は実際には7-zipの解凍ツールであり、パスワード保護された圧縮ファイルである「CR_Debug_log.txt」の解凍に使用されます。
図4:「asacpiex.dll」の署名が示された部分
マルウェアは、cpuinfoのフラグ情報を参照し、感染端末のアーキテクチャを確認します。64ビットシステムの場合はコインマイナーの本体である「64.exe」を作成します。一方、32ビットシステム用の「32.exe」は含まれていないため、現時点では64ビット環境でのみコインマイナーが実行されることになります。
図5:「64.exe」のコード部分
「64.exe」は「Windows Management Instrumentation(WMIクエリ)」を使用して、グラフィックスプロセッシングユニット(GPU)などの情報を収集します。この情報はマイニング活動に利用されます。また、CPU、システム、オペレーティングシステム(OS)のバージョン、ビデオコントローラ、プロセッサに関する詳細情報も収集します。
図6:プロセッサの詳細をチェックするコード部分
図7:ビデオコントローラの詳細をチェックするコード部分
また「64.exe」は「Microsoft SmartScreen」や「Windows Defender」のセキュリティ機能が有効になっているかどうか、さらには、以下のセキュリティ対策ソフトが実行されているかどうかもチェックします。
| AvastUI.exe / AvastSvc.exe | Avast |
| avguix.exe / AVGUI.exe | AVG |
| avp.exe / avpui.exe | Kaspersky |
| dwengine.exe | Dr. Web |
| egui.exe / ekrn.exe | ESET NOD32 |
| MBAMService.exe | Malwarebytes |
図8:セキュリティ対策ソフト実行の有無を確認するコード部分
収集された情報は「HTTP GET」リクエストを用いて以下のURLへ送信されます。
- hxxps://2n<省略>.co/1IRnc
図9:「HTTP GET」による情報を指定URLへ送信するコード部分
「64.exe」は、さらに「helper.exe」として以下のフォルダにコピーされます。
- %appdata%\Roaming\Microsoft\Windows\<フォルダ>
このコインマイナーは、プログラミング言語「AutoIt」でコンパイルされた不正ファイルであり、さらにその内部にも7-Zip解凍ツールを含んでいます。その他、匿名ネットワーク「Tor」のクライアントも、パスワード保護および圧縮が施された状態で含まれています。また、感染端末内での永続性を維持するため、「-SystemCheck」引数を使用してタスクのスケジュールを管理します。
図10:「-SystemCheck」でスケジュール管理されたタスクの記述部分
図11:「-SystemCheck」でスケジュール管理されたタスクの動作部分
「helper.exe」は、スケジュール管理されたタスクによって実行されると、引数「-SystemCheck91137」を使用して自身を起動します。
図12:「helper.exe」のプロパティに記載されたコマンドラインの引数「SystemCheck91137」
「helper.exe」は、検出を回避するため、以下のプロセスが実行されているかどうかを確認します。これらには、セキュリティ関連ツールの他、マイニング活動を検出するための監視ツールなども含まれています。
- aida64.exe
- AnVir.exe
- anvir64.exe
- GPU-Z.exe
- HWiNFO32.exe
- HWiNFO64.exe
- i7RealTempGT.exe
- OpenHardwareMonitor.exe
- pchunter64.exe
- perfmon.exe
- ProcessHacker.exe
- ProcessLasso.exe
- procexp.exe
- procexp64.exe
- RealTemp.exe
- RealTempGT.exe
- speedfan.exe
- SystemExplorer.exe
- taskmgr.exe
- VirusTotalUpload2.exe
そして「helper.exe」は、自身と合わせてバイナリ「Tor」も起動します。
図13:バイナリ「Tor」を起動する「helper.exe」
■被害に遭わないためには
在宅勤務への早急な移行が必要となる中、企業では、遠隔業務に適合するセキュリティ対策強化を十分に検討する時間がない状況に陥りがちです。こうした状況に便乗するサイバー犯罪者が、ビデオ会議アプリなどのツールを悪用してマルウェアを増殖させることで、セキュリティ侵害のリスクにさらされます。
今回のようなリスクを阻止するため、アプリケーションの入手は、公式Webサイトからのみインストーラをダウンロードすることです。また、ユーザは在宅勤務のセキュリティ対策に則ったベストプラクティスに従う必要があります。そして、システムの所在地に関係なくあらゆる脅威を検出してブロックするためには、多層的なセキュリティ防御のアプローチが推奨されます。
■トレンドマイクロの対策
トレンドマイクロ製品では、本記事で取り上げたマルウェアについて「ファイルレピュテーション(FRS)」技術で検出し実行をブロックします。マルウェアに関連する不正サイトについては「Webレピュテーション(WRS)」技術でアクセスをブロックします。
「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などの法人向けエンドポイント製品ではFRS、WRSの各技術により利用者を総合的に保護します。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳: 与那城 務(Core Technology Marketing, Trend Micro™ Research)