2018年10月19日

株式会社Doctor Web Pacific

Doctor Webのアナリストは、仮想通貨を狙ったサイバー犯罪者の活動について調査を行いました。 Investimerとして知られる攻撃者は違法な収益を得るために幅広い種類のマルウェアや多岐にわたる手法を使用しています。

Investimer、HyipblockあるいはMmpowerと呼ばれているオンラインスキャマーは、現在アンダーグラウンドマーケットで広く流通しているスティーラーであるEredel、 AZORult、 Kpot、 Kratos、 N0F1L3、 ACRUX、 Predator The Thief、 Arkei、 Ponyなどの幅広い種類の商用トロイの木馬を使用しています。また、 TeamViewerを利用した Spy-Agent バックドア、 VNCプロトコル経由でコンピューターにアクセスする DarkVNC および HVNC バックドア、 RMSベースのバックドアも使用しているほか、 Smoke Loaderを広く利用し、以前はクリップボードの内容を変更するクリッパーを備えたマイニング型トロイの木馬と Loader by Danij を使用していました。 Investimerは管理サーバーをjino.ru、 marosnet.ru、 hostlife.netなどのWebサイトに設置しています。それらの多くは Cloudflare によって保護され、実際のIPアドレスは隠されています。

Investimerの主な目的は仮想通貨詐欺です。特にDogecoin(ドージコイン)に焦点を当て、実際のオンラインリソースを置き換えるフィッシングサイトを多数作成しています。それらの中には偽の仮想通貨取引所があり、そこでは特別なクライアントソフトウェアが必要であるとされていますが、実際にはこのソフトウェアこそが被害者のコンピューターにダウンロードされる Spy-Agent トロイの木馬です。

Investimerのまた別の「startup」は、 Dogecoinの存在しないマイニングプールの低価格でのレンタルです。プールを使用するために、被害者はパスワード保護されたアーカイブに含まれたクライアントアプリケーションをダウンロードします。このパスワードが、アンチウイルスがアーカイブをスキャンし、ダウンロード時点で削除することを防ぎます。もちろん、アーカイブに含まれているのはクライアントアプリケーションではなくスティーラー型トロイの木馬です。

Investimerのさらに別の詐欺プロジェクトには仮想通貨Etheriumを狙ったものがあります。 Investimerは、特別なアプリを装った悪意のあるプログラムをインストールすればWebサイトを見ることができると被害者を騙します。Webサイトを訪問するとトロイの木馬が自動的にダウンロードされます。このスキャマーは、サービスに関する偽のレビューまで書いています。

また、 Investimerによるその他のオンライン詐欺に、 Dogecoinで賞金をもらえるオンライン宝くじがあります。もちろん、参加者が宝くじに当たることはなく、主催者のみが収益を得ることができるようになっています。それにもかかわらず、本記事掲載時点で5,800人を超えるユーザーが Investimer のサイトが実施する宝くじに参加しています。

オンライン宝くじとは別に、 Investimerは広告を含んだWebページを見ることでDogecoinでの報酬を受け取ることができるというプロジェクトも実施しており、このプロジェクトには11,000人を超えるユーザーが登録しています。

被害者がインターネットサーフィンで収益を得るためのブラウザプラグインをダウンロードしようとすると、そのプラグインを装ったバックドアが「パートナー」サイトからユーザーのコンピューターにダウンロードされます。次に、このバックドアが感染したデバイスにスティーラー型トロイの木馬をインストールします。

Investimerは従来のフィッシングも使用しています。 Etherium決済システムを新しいユーザーに紹介することで報酬を提供するというサイトを作成し、登録時にユーザーが入力した情報が犯罪者に送信されるようにしています。

そのほか、 Investimerは公式の cryptobrowser.site をコピーしようと試みています。オリジナルサイトのプロジェクトクリエイターはユーザーがWebページを閲覧している間に仮想通貨マイナーをバックグランドで実行する新しいWebブラウザを開発しています。 Investimerによって作成された偽サイトの品質はあまり高くありません。一部の画像が表示されず、使用許諾契約には本物の開発者のメールアドレスが記載され、ブラウザを装ったトロイの木馬は別のドメインからダウンロードされます。以下の画像は Investimer による偽のサイト(左)と本物のサイト(右)です。

Investimerは、ファイナンシャル・ピラミッド原則に基づくオンラインゲームなど、他のオンライン詐欺にも関わっていると言われています。Investimerは仮想通貨を盗む目的でスティーラー型トロイの木馬によって収集された情報を使用し、様々な電子決済システムのウォレットから金銭を盗みます。ハッキングしたコンピューターにアクセスするためのInvestimerのコントロールパネルには、それぞれの被害者に関する卑猥なコメントが含まれていますが、検閲に引っかかってしまうため掲載することはできません。

概していえば、このサイバー犯罪者がインターネットユーザーを欺くために使用する方法は次のとおりです。被害者は様々な方法で偽のサイトに誘導され、そこでクライアントプログラムをダウンロードするよう要求されます。ここで実際にダウンロードされるのはクライアントではなく、犯罪者のコマンドに従って別のマルウェアをコンピューターにインストールするトロイの木馬です。それらのプログラム(主にスティーラー型トロイの木馬)は感染したデバイスから機密データを盗み、スキャマーは後にそれを使用して仮想通貨を盗んだり、決済システムを通じて被害者の口座から金銭を盗んだりします。

Doctor Webのアナリストは、Investimerの違法行為による被害を受けたユーザーの数は合計で10,000人を超えるとしています。また、被害額は23,000ドルを超え、さらに現在のレートで900ドルに相当する182,000 Dogecoin以上が加わっています。

Investimerによって作成されたすべてのWebサイトのアドレスはDr.Web SpIDer Gateのデータベースに追加され、スキャマーが使用するすべてのマルウェアは、Dr.Webのアンチウイルスによって検出・削除されています。

IOC(Indicators of Compromise)のリストは、こちらから確認できます。

#criminal #cryptocurrencies #mining #fraud