Morphisecはこのほど、「in2al5d p3in4er is Almost Completely Undetectable」において、情報窃取型マルウェア「Aurora」の配信に回避的なローダを使う新たなキャンペーンが展開されていることして、注意を呼び掛けた。「in2al5d p3in4er」と呼ばれるローダがキャンペーンに使われていることが明らかになった。

  • in2al5d p3in4er is Almost Completely Undetectable

    in2al5d p3in4er is Almost Completely Undetectable

in2al5d p3in4erはEmbarcaderoの統合開発環境であるRAD Studioでコンパイルされ、高度なアンチ仮想マシン技術を使ってエンドポイントをターゲットにしているローダプログラム。AuroraはGoベースで開発されているインフォスティーラマルウェアであり、主にYouTubeの動画や偽のクラックソフトウェアのダウンロードサイトを通じて配布されている。

Morphisecの調査により脅威者がYouTubeの人気アカウントを乗っ取り、悪意のあるWebサイトやダウンロードサイトへのリンクを含む動画を投稿していることがわかった。動画の認知度を高めるために検索エンジン最適化(SEO: Search Engine Optimization)を使用し、動画を検索サイトで上位に表示させていることも確認されている。

Morphisecが分析したローダはシステムにインストールされているグラフィックカードのベンダーIDを照会し、許可されたベンダーIDのセット(AMD/Intel/NVIDIA)と比較するよう設計されている。ベンダーIDが一致しない場合、ローダは自身を終了させ正当なアプリであるかのように見せかける。逆に、ベンダーIDが一致した場合はペイロードを復号し、プロセスホロリングと呼ばれる技術を使って「sihost.exe」という悪意のあるプログラムを正規のプロセスにインジェクトすることがわかった。

in2al5d p3in4erの調査を行ったMorphisecは、このローダの背後にいる脅威者がソーシャルエンジニアリングツールと組み合わせて人気のあるYouTubeアカウントを乗っ取り、ユーザーを偽のWebサイトに誘導するというキャンペーンを仕掛けていると分析している。偽のWebサイトからマルウェアをダウンロードするよう仕向けていると考えられており、注意するよう呼びかけている。