McAfee Labs、新しい暗号化されたマルウェア「WebCobra」を発見

McAfee Labsの研究者は、秘密に暗号化されたMonero(XMR)またはZcashを掘り起こすために、犠牲者のコンピューティングパワーを密かに抽出する新しい暗号化マルウェアを発見しました。

ロシアで始まり、「WebCobra」と呼ばれるこの暗号化マイニングマルウェアは、マルウェアが検出した設定に応じて、Cryptonightの鉱夫またはClaymoreのZcashのマイナーを削除してインストールします。感染したマシンの構成に応じて異なるマイナーを落とすという点で比較的珍しいことです。

McAfeeのブログ記事では、「x86システムでは、Cryptonightのマイナーコードを実行中のプロセスに注入し、プロセスモニタを起動します。 x64システムでは、GPUの構成をチェックし、リモートサーバーからClaymoreのZcashマイナーをダウンロードして実行します。

McAfeeは、WebCobraのマルウェアの技術を詳しく述べ、「ほとんどのセキュリティ製品は、マルウェアの動作を監視するためにいくつかのAPIを利用している。この手法で見つからないように、WebCobraはntdll.dllとuser32.dllをメモリ内のデータファイルとしてロードし、APIのフックを解除するこれらの関数の最初の8バイトを上書きします。

x86システムに感染すると、マルウェアはsvchost.exeに悪質なコードを挿入し、無限ループを使用して開いているすべてのウィンドウをチェックし、各ウィンドウのタイトルバーテキストをこれらの文字列と比較します(adw、emsi、avz、farbar、glax、delfix、 、exe、asw_av_popup_wndclass、snxhk_border_mywnd、AvastCefWindow、AlertWindow、UnHackMe、eset、ハッカー、AnVir、不正、uVS、マルウェア)これらの文字列のいずれかがウィンドウタイトルバーのテキストに表示されていると、開いているウィンドウは終了します。これはWebCobraがマルウェア分析用に設計された隔離された環境で動作しているかどうかを判断する別のチェックです。

プロセスモニターが実行されると、マイナーの構成ファイルを引数として指定したsvchost.exeのインスタンスが作成され、Cryptonightマイナーコードが注入されます。最後に、Cryptonightマイナーがサイレントモードで実行され、ほとんどすべてのCPUリソースを消費するプロセスが再開されます。

ブログ記事では、WebCobraがx64システムをどのように攻撃するかのプロセスも詳しく説明しています。

ポストに記載されている攻撃手法の中には、コマンドと制御チャネル、コマンドラインインターフェイス、フック、ローカルシステムからのデータ、ファイルとディレクトリの検出、クエリレジストリ、システム情報の発見、プロセスの発見、システムの時間の発見、プロセスデータの暗号化、データの難読化、多層暗号化、およびファイルの削除が含まれます。

マカフィーが明らかにした「妥協の指標」は次のとおりです。

IPアドレス:149.249.13:2224,149.254.170:2223,31.92.212

ドメイン:fee.xmrig.com、ru、zec.slushpool.com

McAfee Labsの研究者は、この脅威が不正なPUPインストーラを介して到着したと考えています。世界中のその影響を監視した後、McAfee Labsは、ブラジル、南アフリカ、および米国で最も高い感染数を発見しました。

コインマイニングマルウェアは識別するのが難しい。マシンが攻撃されると、悪意のあるアプリはバックグラウンドで黙って実行され、パフォーマンスの低下という兆候が1つあります。マルウェアは電力消費を増加させ、最終的にマシンが減速し、最近の報告書によると、単一のビットコインを消費するエネルギーが531ドルから26170ドルになるため、膨大な請求書が発生します。

サイバー犯罪者が実装するのが比較的容易であると考えているため、コインの採掘マルウェアは一見大きく成長します。他の人のシステムにある鉱山のコインは、ランサムウェアに比べて投資とリスクが少なくて済みます。また、犠牲者が送金に同意した割合にも依存していません。

今年4月、McAfee Labsは、CoinMinerまたはCoinMiner-FOZU!と呼ばれるマルウェアの変種が大幅に増加したと報告しました。マルウェアは、ユーザーの実行ファイルを感染させ、HTMLファイルにCohhive JavaScriptを注入し、セキュリティ製品のドメインをブロックして署名の更新を停止することにより、被害者のコンピュータを制御して新しいコインを掘り起こす。マルウェアの特有の特徴は、感染する各ファイルに一意のマーカーを付けないということです。したがって、同じマルウェアによるその後の感染は、被害者のファイルに再感染します。

Leave a Reply