開発者らが「PennyWise」と名付けた新たなスティーラーが最近登場し、Cyble Research Labsによって公開されました。研究者らは、このマルウェアの複数のサンプルが実際に確認されており、アクティブな脅威となっていることが確認されています。この脅威は、機密性の高いブラウザデータと暗号通貨ウォレットの窃取を目的としており、国防総省がブロックチェーンに関する懸念を表明している中で発生しました。
珍しい拡散方法:YouTube
このマルウェアは、無料のビットコインマイニングアプリケーションを装い、YouTube ビデオ経由で宣伝およびダウンロードできます (図 A )。
図A
このスクリーン キャプチャでは、非常に限られた数の訪問者が示されていますが、Cyble は、YouTube で大量感染が確認された 80 本以上の動画をすべて脅威アクターの YouTube チャンネルに保存していることを確認しました。
ユーザーがビデオを見ると、パスワードで保護されたアーカイブ ファイルをダウンロードするように誘導されます。このファイルには宣伝されている Bitcoin マイニング ソフトウェアが含まれていますが、実際には PennyWise マルウェアです。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
パスワードで保護されたアーカイブの使用は、コンテンツがパスワードで保護されている場合、ユーザーが疑いを抱きにくくなる傾向があるため、信頼を強化するためのソーシャル エンジニアリング手法として知られています。
脅威アクターは、より正当なファイルであるように見せかけるため、マルウェアではないクリーンなファイルのウイルス対策ソフトの結果を表示するVirusTotalへのリンクを追加しています。また、ファイルのダウンロードが許可されていない場合はウイルス対策ソフトをオフにする必要があるかもしれないと警告しつつも、ファイルは完全に安全であるとしています(図B)。
図B
アーカイブ ファイルには PennyWise のインストーラーが含まれており、マルウェアがコマンド アンド コントロール サーバーとの通信を開始する前に実行されます。
PennyWiseマルウェアの特徴
このマルウェアは未知の暗号化ツールで難読化されており、マルチスレッドを使用してより効率的にデータを盗みます。
マルウェアが実行されると、標的とするいくつかの異なるブラウザへのパスを取得します。
- 30以上のChromeベースのブラウザ
- 5つ以上のMozillaベースのブラウザ
- オペラ
- マイクロソフトエッジ
マルウェアはその後、被害者のOSからユーザー名、マシン名、システム言語、タイムゾーンを取得します。タイムゾーンはロシア標準時に変換されます。
マルウェアが被害者の国を特定しようとする際には、もう一つの地理的特徴が見られます。被害者の国が以下のいずれかの場合、マルウェアはすべての動作を完全に停止します。
- ロシア
- ウクライナ
- ベラルーシ
- カザフスタン
これは、脅威の攻撃者がこれらの特定の国の法執行機関を回避したいと考えている可能性を示唆している可能性があります。
さらに、マルウェアはグラフィック ドライバーとプロセッサ名を取得し、すべてを AppData\Local ディレクトリ内の隠しフォルダーに保存します。
これが完了すると、マルウェアは分析回避および検出回避のトリックを用いて、どのような環境で実行されているかを判断しようとします。仮想マシンで実行されている場合は、動作を停止します。
どのようなウイルス対策またはサンドボックスが実行されているかを判断するために追加のチェックが行われ、マルウェアは Wireshark、Fiddler、tcpview などの分析ツールに関連するプロセス名の定義済みリストをチェックします。
ペニーワイズがデータを盗む方法
マルウェアはすべてのチェックを完了すると、効率化のためにマルチスレッド化を開始します。10以上のスレッドが作成され、それぞれが異なる処理を担当します。
このマルウェアは、20KB未満のRTF、DOC、DOCX、TXT、JSONファイルのみを盗みます。ファイルは、マルウェアが作成した隠しフォルダ構造内の「grabber」フォルダに保存されます。
マルウェアは、システムにインストールされているすべてのソフトウェアもリストします。
マルウェアが既知のブラウザを検出すると、ログイン認証情報、Cookie、暗号化キー、マスターパスワードなど、すべての既知のブラウザデータが盗まれます。
DiscordトークンとTelegramセッションも盗まれ、ユーザーの画面のスクリーンショットが撮影されます。
次に、レジストリを照会し、Litecoin、Dash、Bitcoinなどの暗号通貨ウォレットを検索した後、Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic Wallet、Guarda、Coinomiなどのコールドストレージウォレットを標的とします。ウォレットファイルは、事前に定義されたフォルダのリストから盗まれます。Chromeベースのブラウザの暗号通貨拡張機能も標的となります。
すべての収集が完了すると、圧縮されて攻撃者が管理するサーバーに送信され、その後コンピューターから削除されます。
この脅威から身を守る方法
ソフトウェアは、検証されていない、または信頼できないソースからダウンロードしないでください。ソフトウェアは、ユーザーが慎重に確認した上で、常に正規のウェブサイトからダウンロードする必要があります。
また、新しいアプリケーションをインストールする目的でウイルス対策ソフトを無効にすることは絶対に避けてください。ウイルス対策ソフトによる悪意のある検出は、ユーザーにとって重大な警告となります。コンピューターで実行されているウイルス対策ソフトやセキュリティ製品は、他のすべてのソフトウェアやオペレーティングシステムと同様に、常にパッチを適用しておく必要があります。
ブラウザに認証情報を保存することは避けるべきです。代わりに、パスワードマネージャーを使用し、ウェブサイトやオンラインサービスごとに異なるパスワードを設定する必要があります。サイバー犯罪者が有効な認証情報を入手したとしても、それを使ってオンラインサービスを利用できないように、可能な場合は多要素認証を導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
