2023年6月14日

株式会社Doctor Web Pacific

Doctor Webは、サイバー犯罪者によってトレント(torrent)トラッカーから拡散されていた複数の非公式Windows 10ビルドに、悪意のあるクリッパープログラムが含まれていることを発見しました。Trojan.Clipper.231と名づけられたこのトロイの木馬アプリは、クリップボード内の仮想通貨ウォレットアドレスを攻撃者のアドレスに置き換えます。現時点で、約1万9,000ドル相当の仮想通貨が盗まれています。

2023年5月末、Doctor WebはカスタマーからWindowsコンピューターが感染している疑いがあるという連絡を受け、スペシャリストによる調査を行いました。解析の結果、システム内にトロイの木馬を含んだアプリケーションが存在することが明らかになりました。発見されたのはスティーラーマルウェア Trojan.MulDrop22.7578 とインジェクター Trojan.Inject4.57873 です。Doctor Webのウイルスラボはこれらすべての脅威を特定し駆除することに成功しました。

同時に、標的となったOSは非公式のビルドであり、悪意のあるアプリは最初から組み込まれていたということが明らかになりました。さらなる調査の結果、以下の複数のWindowsビルドで同様の感染が確認されました。

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

これらはすべてトレントトラッカーの一つからダウンロード可能なものですが、悪意のあるアクターは別のサイトからも感染したシステムISOイメージを拡散させている可能性があります。

上記ビルドに含まれていた悪意のアプリは次のシステムディレクトリ内で発見されています。

• \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
• \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
• \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

クリッパーマルウェアの初期化は複数のステージに分けて行われます。最初のステージで、悪意のあるプログラム Trojan.MulDrop22.7578 がシステムのタスクスケジューラ経由で起動されます。

%SystemDrive%\Windows\Installer\iscsicli.exe

このドロッパーのタスクは、EFIシステムパーティションを M:\ ドライブにマウントして他の二つの悪意のあるコンポーネントをそこにコピーし、その後、元のトロイの木馬ファイルを C:\ ドライブから削除して、 Trojan.Inject4.57873 を起動し、最後にEFIパーティションをアンマウントすることです。

次に、この Trojan.Inject4.57873 が、プロセスハロウイング(Process Hollowing)手法を使用して Trojan.Clipper.231をシステムプロセス %WINDIR%\\System32\\Lsaiso.exe に挿入します。その後、クリッパーはこのプロセスのコンテキストで動作します。

コントロールを掌握すると、 Trojan.Clipper.231 はクリップボードの監視を開始し、そこにコピーされた仮想通貨ウォレットのアドレスを攻撃者のアドレスに置き換えます。ただし、このトロイの木馬にはいくつかの制約があります。第一に、このクリッパーはシステムファイル %WINDIR%\\INF\\scunown.inf を検出した場合にのみ、アドレスの置き換えを開始します。第二に、アクティブなプロセスをチェックし、トロイの木馬にとって脅威となるような複数のアプリのプロセスを検出した場合は、仮想通貨ウォレットアドレスの置き換えを実行しません。

EFIパーティションにマルウェアを侵入させる手法は、現在でも非常にまれな攻撃ベクターです。そのため、今回のケースは情報セキュリティスペシャリストにとって大変興味深く示唆に富むものとなっています。

Doctor Webのスペシャリストによる計算では、 Trojan.Clipper.231 を使用して盗まれた金額は、本記事掲載時点で0.73406362 BTCと0.07964773 ETH (合計1万8,976.29ドル相当)となっています。

Doctor Webでは、OSのオリジナルISOイメージのみを、メーカーのWebサイトなど信頼できるソースからのみダウンロードするよう推奨しています。Dr.Webアンチウイルスは、 Trojan.Clipper.231 とこれに関連する残りの悪意のあるプログラムをすべて検出・駆除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.Clipper.231の詳細 ※英語

Trojan.MulDrop22.7578の詳細 ※英語

Trojan.Inject4.57873の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語