2024年1月16日

株式会社Doctor Web Pacific

Doctor Webは、Telegramや複数のサイトから入手可能な海賊版ソフトウェアに仮想通貨をマイニングするトロイの木馬が潜んでおり、その検出数が増加していることを確認しました。

2023年12月、海賊版ソフトウェアに潜んでユーザーのコンピューターに侵入するトロイの木馬 Trojan.BtcMine.3767 と Trojan.BtcMine.2742 （ Trojan.BtcMine.3767 によって挿入されるペイロード）の検出数が増加していることが、Doctor Webのウイルスアナリストによって確認されました。

Trojan.BtcMine.3767 はC++で書かれた、Windows向けのトロイの木馬プログラムです。仮想通貨マイナーをダウンロードするローダーで、SilentCryptoMinerプロジェクトをベースにしています。感染したソフトウェアパッケージの拡散にはTelegramチャンネル「t[.]me/files_f」（登録者数5,000人以上）とWebサイト「itmen[.]software」、「soft[.]sibnet[.]ru」が使用されています。後者のケースでは、ハッカーはひと手間かけてNSISインストーラを使用したカスタムビルドを用意しているというのが興味深い点です。インストールパッケージの解凍後、Doctor Webのアナリストは攻撃者がトロイの木馬のソースファイルを保存するために使用していたパスを特定しました。

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

Doctor Webのマルウェア解析ラボによると、このトロイの木馬の拡散キャンペーンの1つでは、わずか2か月足らずの間に4万台を超えるコンピューターが感染しています。Telegramの閲覧数やWebサイトのトラフィックを踏まえると、実際の規模はより一層大きなものである可能性があります。

起動されると、ローダーは %ProgramFiles%\google\chrome\ ディレクトリに updater.exe という名前で自身をコピーし、OSの起動時に自動実行されるようスケジューラタスクを作成します。無害に見えるよう、タスクには GoogleUpdateTaskMachineQC という名前が付いています。さらに、ローダーは自身のファイルをWindows Defenderの除外に追加し、また、コンピューターがシャットダウンしたり休止状態になったりするのを防ぎます。初期設定はトロイの木馬に埋め込まれており、リモートホストから更新されます。初期化されると、ローダーは仮想通貨を密かにマイニングするペイロードである Trojan.BtcMine.2742 を explorer.exe プロセスに挿入します。

また、このローダーによって、感染したコンピューター上にファイルレスルートキットr77をインストールしたり、Windowsのアップデートを無効にしたり、Webサイトへのアクセスをブロックしたり、トロイの木馬のソースファイルを自動的に削除または復元したり、仮想通貨のマイニングプロセスを一時停止したり、ユーザーがプロセス監視プログラムを起動した場合にマイナーが使用するRAMとVRAMをアンロードしたりすることも可能です。

Dr.Webアンチウイルス製品は Trojan.BtcMine.3767 および Trojan.BtcMine.2742 を検出し駆除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。