AhnLab SEcurity intelligence Center(ASEC)では、最近 ViperSoftX の攻撃者が Tesseract を活用し、ユーザーの画像ファイルを窃取していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行や、仮想通貨関連の情報窃取の機能を担うマルウェアである。
今回、新たに確認されたマルウェアは、オープンソース OCR エンジンである Tesseract を活用した。Tesseract は、ディープラーニング方式で画像からテキストを抽出する機能に対応している。攻撃に使われたマルウェアは、感染システムに保存されている画像を読み取り、Tesseract ツールで文字列を抽出する。もし、抽出した文字列からパスワードや仮想通貨のウォレットアドレスに関連した文字列が確認される場合、その画像を窃取する。
ここではまず、数年前から配布されている ViperSoftX マルウェアについて簡単にまとめる。基本的なコマンド実行や仮想通貨のウォレットアドレスの窃取などの機能については、詳しい解析資料がすでに存在するため、最新バージョンで確認される違いと実際の攻撃者が ViperSoftX を活用して配布しているマルウェアを中心に紹介する。攻撃者は、多数のシステムにインストールされている ViperSoftX を利用して新しいマルウェアをインストールし続けており、代表的なものとして Quasar RAT と TesseractStealer がある。
1. ViperSoftX
ViperSoftX は、感染システムを操作し、情報を窃取することができるマルウェアであり、主に正常なソフトウェアのクラックや Keygen を偽装して配布されている。2020年に Fortinet 社によって初めて確認され、感染システムを操作できる RAT マルウェアと仮想通貨のウォレットアドレスを窃取する情報窃取型マルウェアをインストールした。[1](外部サイト、英語にて提供)
2022年には Avast 社によって新しい活動が報告されたが、既存に使用していた JavaScript の代わりに PowerShell スクリプトを使用しており、仮想通貨のウォレットアドレスの他にクリップボードの変更、追加ペイロードのインストールなどの機能が追加された。また、Chrome ベース Web ブラウザの不正な拡張プログラムをインストールする VenomSoftX を利用して情報を窃取したりもした。[2](外部サイト、英語にて提供) TrendMicro 社の2023年レポートには、ViperSoftX の配布方式が紹介されており、従来と比較すると、「KeePass 2」および「1Password」などのパスワード管理者のインストール有無をチェックするルーチンが追加されているという点が確認された。[3](外部サイト、英語にて提供)
2. マルウェアの配布に使用される ViperSoftX
最近配布されている ViperSoftX は、コンピュータ名、ユーザー名、インストールされているセキュリティ製品、仮想通貨関連の情報など、感染システムの情報を送信するという点で Fortinet 社が過去に公開したタイプと類似している。しかし、このような情報が含まれた User-Agent を Base64 アルゴリズムで暗号化した点や、「viperSoftx」キーワードの代わりに「Welcome_2025」というキーワードが使われた点が違いである。
攻撃者は、ViperSoftX をアップデートするため、「win32.exe」 という名前の Dropper をインストールした。Dropper は、内部リソースに「Svchost.exe」と「System32.exe」という名前のマルウェアが含まれており、最終的に「update.ps1」という名前の PowerShell スクリプトをタスクスケジューラに登録する。
「update.ps1」は、実際の ViperSoftX PowerShell スクリプトを作成し、タスクスケジューラに登録する。これにより、最終的には各 %PROGRAMDATA%、%PUBLIC% パスに位置する「update.ps1」を実行するタスクが「Check system」と「Chromeniumscrypt」という名前で作成される。
過去には6つのコマンドに対応していたが、最近確認されている ViperSoftX は、「DwnlExe」、「Cmd」、「SelfRemove」の3つのコマンドだけに対応するのが特徴である。
この他にも、外部からコマンドをダウンロードして実行する PowerShell スクリプトと、Web ブラウザの拡張マルウェアをインストールする機能を担う VenomSoftX PowerShell スクリプトもともに確認されている。PowerShell スクリプトは、タスクスケジューラに登録されて動作するため、システムで持続的に実行され、定期的にアップデートされる。
攻撃者は、このように感染システムにインストールされた ViperSoftX を利用して追加のマルウェアをインストールすることができ、実際に Quasar RAT や TesseractStealer をインストールする事例が確認されている。
3. Quasar RAT
Quasar RAT は .NET で開発されたオープンソース RAT マルウェアである。一般的に RAT マルウェアのようなプロセスおよびファイル、レジストリのようなシステムタスク、リモートコマンド実行、ファイルアップロードおよびダウンロードのような機能を提供している。Quasar RAT はそれ以外にもキーロガー、アカウント情報の収集機能を提供しており、ユーザー環境の情報を窃取することができ、リモートデスクトップを通して攻撃者がリアルタイムで感染システムを操作することができる。
攻撃者は、ViperSoftX を利用して Quasar RAT を配布しており、これは少なくとも2023年の7月から確認されている。攻撃者は、特定の対象を指定して Quasar RAT を配布するのでなく、感染したシステムの多数を対象に大量の Quasar RAT をインストールしていると見られる。特に、2024年の3月からは多くのシステムで Quasar RAT のインストール事例が持続的に確認されている。
攻撃に使用された Quasar RAT のほとんどはこれといった特徴が存在しないが、最近では Tor ネットワークを利用する事例も確認された。このマルウェアは、Tor Web ブラウザをインストールした後、これをプロキシサーバーとして使用し、C&C サーバーと通信する。実際の設定情報に保存されている C&C サーバーのアドレスも Onion ドメインが使用される。
4. TesseractStealer
攻撃者は、Quasar RAT の他にも情報窃取型マルウェアをインストールした。ここでは、このマルウェアを TesseractStealer と呼ぶ。TesseractStealer は、オープンソース OCR エンジンである Tesseract を活用するが、Tesseract は、ディープラーニング方式で画像からテキストを抽出する機能をサポートするツールである。[4](外部サイト、英語にて提供)
TesseractStealer はまず、リソースに存在する Tesseract(tesseract50.dll)と Leptonica(leptonica-1.82.0.dll)ライブラリファイル、学習データファイル(eng.traineddata)およびフォントファイル(pdf.ttf)を作成する。その後、システムに存在する画像ファイル、すなわち「.png」、「.jpg」、「.jpeg」ファイルを取得するが、「editor」というパスに存在する場合は除外される。
その後、インストールした Tesseract ライブラリを活用して各画像ファイルから文字列を抽出する。抽出した文字列に次のような文字列が含まれているかをチェックする。もし、この文字列が含まれていると、C&C サーバーに画像ファイルを送信する。
チェックする文字列は、すべて OTP や復旧に必要なパスワード、仮想通貨のウォレットアドレスなどの文字列である。すなわち、攻撃者は、ユーザーが仮想通貨のウォレットアドレスやパスワードのような情報をスクリーンショットのキャプチャを利用して画像ファイル形式で保存する場合、この画像ファイルを窃取する目的と見られる。例えば、「your wallet generation seed is」というメッセージは、以下のように Electrum のウォレットアドレス作成時に必要な Seed フレーズを対象としていると推定される。攻撃者は、窃取した Seed フレーズを利用してウォレットを復元し、仮想通貨を窃取することができる。
図12. 仮想通貨のウォレット作成時の Seed 入力ウィンドウ[5](外部サイト、英語にて提供)5. 結論
最近、感染システムを操作し、ユーザーの情報を窃取する ViperSoftX マルウェアの活動が著しく増加している。ViperSoftX は、主に正常なプログラムのクラックや Keygen に偽装して配布されると知られており、感染システムに持続的に常駐しながら追加のマルウェアをインストールする。最近の攻撃者は、ViperSoftX を利用して Quasar RAT と TesseractStealer をインストールしている。TesseractStealer は、Tesseract という画像抽出ツールを活用し、ユーザーの画像ファイルの中からパスワードや仮想通貨関連のスクリーンキャプチャファイルを窃取する。
ユーザーは、疑わしい Web サイトやデータ共有サイトの実行ファイルをインストールすることに特に注意を払う必要があり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Backdoor/Win32.QuasarRAT.R341693 (2020.06.27.06)
– Trojan/Win.Generic.C5440564 (2023.06.13.01)
– Trojan/Win32.Agent.C2862808 (2018.11.28.00)
– Trojan/Win32.RL_Downeks.C4069173 (2020.04.19.01)
– Infostealer/Win.Tesseract.R646594 (2024.04.29.02)
– Trojan/Win32.Subti.R285137 (2019.08.06.05)
– Trojan/PowerShell.ViperSoftX (2024.04.29.03)
– Downloader/Powershell.ViperSoftX.SC199376 (2024.04.29.02)
– Downloader/Powershell.ViperSoftX.S2677 (2024.05.03.03)
– Trojan/JOB.ViperSoftX.S2679 (2024.04.29.02)
– Trojan/JOB.ViperSoftX.S2680 (2024.04.29.02)
AMSI 検知
– Downloader/Powershell.ViperSoftX.SA2678 (2024.05.03.03)
振る舞い検知
– Malware/MDP.Inject.M2907
– Execution/MDP.Powershell.M1185
– Execution/MDP.Powershell.M1201
IoC
MD5
– f9bb6ef02f29f52ff126279ff7d044bb : ViperSoftX Dropper (win32.exe)
– bdd3d30ea4bc94d1240ea75f1aa212eb : ViperSoftX Installer (Svchost.exe)
– f52616c47b243f3373248ed2a5f49e1c : ViperSoftX Installer (System32.exe)
– c21b68dae810444cc013722e97b77802 : ViperSoftX PowerShell Installer (update.ps1)
– d9a4b64d20c6860f12b6da0ecd53983a : ViperSoftX PowerShell (update.ps1)
– 4373f159c79da9ecf7a05b81868c3a97 : ViperSoftX Downloader PowerShell
– 240766d7b6b936fad871ea1a7fefc141 : VenomSoftX PowerShell (Decrypted)
– c00e53e8cbb5701157002091db4a2500 : Quasar RAT – 2023年7月 (microsoft.exe)
– 3b20a80251740bb4443968cdd125b99d : Quasar RAT – 2023年7月 (csrss.exe)
– fffb28442b89e1387b30a40cbb211570 : Quasar RAT – 2023年7月 (NVIDIA.exe)
– 66bdc2d36d460fb25bb2114f770d5ade : Quasar RAT – 2024年3月以降 (powershells.exe)
– 06cba6b21f02f980f755da363dfc50a8 : Quasar RAT – 2024年3月以降 (dllhost.exe)
– 6987e127bc6c12fcb9f1876e8ecf64d1 : Quasar RAT – 2024年3月以降 (conhost.exe)
– 862d9a823ae99b9181b749ae66198bca : Quasar RAT – Tor、2024年3月以降 (java.exe)
– 4c96de9869538349c8daae65342ad94c : TesseractStealer (56cb4553-d33a-42b8-8d77-bb3f279f5191.x)
C&C サーバー
– hxxp://mysystemes[.]com:80/connect : ViperSoftX PowerShell
– hxxp://xboxwindows[.]com/api/v1/ : ViperSoftX DownLoader PowerShell
– bideo.duckdns[.]org:15 : Quasar RAT (2023年7月)
– bideo.duckdns[.]org:2 : Quasar RAT (2023年7月)
– bideo.duckdns[.]org:7 : Quasar RAT (2023年7月)
– mvps-remote.duckdns[.]org:103 : Quasar RAT (2024年3月以降)
– youtubevideos.duckdns[.]org:5 : Quasar RAT (2024年3月以降)
– win32updates.duckdns[.]org:1 : Quasar RAT (2024年3月以降)
– x75tjpwatl2uyunijiq6jwqhlar3j5fkpi5optv7tfreijbpylwnnbqd[.]onion:8880 : Quasar RAT (2024年3月以降)
– hxxps://22.rooz2024.workers[.]dev : TesseractStealer
ダウンロードアドレス
– hxxps://www.uplooder[.]net/f/tl/92/fd73d54c0013b987b9f3b66d839975d9/csrss.exe : Quasar RAT
– hxxp://rooz2024[.]com/wfdfsgfsgdh/wfin.x : TesseractStealer
参考資料
– 窃取対象画像の選定に使用される文字列
| “if you have any problem with scanning the qr”, “enable google authentication”, “write down each word”, “write down your secret phrase”, “do not create a digital copy such as a screenshot”, “write down or copy these words”, “do not share your phrase to anyone”, “you will be shown a secret phrase on the next screen”, “your wallet generation seed is”, “please save these 12 words”, “write down this 12-word secret recovery”, “Please write down the following words and keep them in a secure place”, “Warning: Do not share these words with anyone. If lost, you might lose your funds”, “Ensure you write these words in their order and store them offline”, “These words are the key to recovering your wallet. Do not lose them”, “If you lose access to your wallet, these words can be used for its recovery”, “Do not store these words on your device or in an email. Use a piece of paper to note them down and keep it in a safe place”, “Your seed phrase is the only way to restore your funds. Keep it private”, “Never enter your seed phrase into any website or software you don’t trust”, “Avoid storing your seed phrase electronically to minimize hacking risks”, “If someone gets access to your seed phrase, they have access to your funds”, “Always double-check and verify your seed words before finalizing”, “Lost seed phrases cannot be recovered by us or anyone else”, “For added security, consider storing multiple physical copies of your seed phrase in different locations”, “Never disclose your seed phrase, even to support or staff members”, “Do a regular check to ensure you still have access to your seed phrase”, “Using a passphrase in conjunction with your seed phrase can provide an extra layer of security”, “Remember, your funds are as safe as your ability to keep your seed phrase secure”, “It’s your responsibility to ensure the confidentiality of your seed phrase” |
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post ディープラーニングベースの Tesseract を活用して情報を窃取する ViperSoftX appeared first on ASECブログ.