ジェネレーターだと思ったらPYbotだった

PYbotはボット型マルウェアです。
2019年にPythonで書かれたもので、丸ごとGitHubで公開されています。

ボット型のマルウェアは多くあります。
それらは多機能で、攻撃者の指定するコマンドを実行することができるなどの機能も搭載しているものが多いです。
しかしこのGitHubで公開されているPYbotにはDDoSを実行する機能のみが実装されています。
TCP SYN flood attack、TCP junk flood attack、UDP junk flood attack、VSE query flood attack、HTTP GET request flood attackの機能があります。

このPYbotの改造版を配布するキャンペーンが観測されています。
次のような流れで配布されます。

• 違法ソフトウェアとして配布
  いろいろな違法ソフトウェアがありますが、この例ではそれは「Discord Nitro Generator」でした。
  Discord NitroはDiscordのサブスクリプションで、カスタム絵文字やスタンプ、HDビデオ配信などが利用できるようになるものです。
  これを勝手に使えるようにするというものがDiscord Nitro Generatorです。
  この違法ソフトウェアのインストーラーが配布されています。
• 違法ソフトウェアをダウンロード
  被害者は配布されている「Discord Nitro Generator」のインストーラーをダウンロードします。
• インストーラーを実行
  インストーラーを実行すると、ソフトウェアがインストールされます。
  インストールされるものはダウンローダーです。
  ちなみにダウンローダーの名称は「NitroGenerator.exe」です。
  違法ソフトウェアの利用者の目にはこれが違法ソフトウェアに見えます。
• NitroGenerator.exeを実行
  被害者はいよいよNitroGenerator.exeを実行します。
  これを実行するとDiscord Nitroを勝手に利用できるようになります。
  とおもったら、その裏では2つのファイルが取得されて配置されます。
  p.exeとn.exeです。
• p.exe
  p.exeはPYbotです。
  GitHubで配布されているPythonのコードをPyInstallerでWindows用の実行ファイルにしたものです。
  これはC2と通信し、攻撃行動を実施します。
  GitHubで公開されているPYbotにはない機能も追加されています。
  元のツールがシンプルなので拡張も難しくありません。
• n.exe
  n.exeはNitro Generatorのインストーラーです。
  これが実行され、被害者がもともと入手したかったNitro Generatorがインストールされます。

PYbotを仕掛けられた人はPYbot側から見ると被害者です。
しかしこの被害者はもともとはDiscord Nitroを不正に利用しようとしていたのですから、この方向から見れば犯罪者です。
悪いことをしてやろうと思ったら、実は自分は使われる側にもなっていた、という話です。

参考記事（外部リンク）：PYbot DDoS Malware Being Distributed Disguised as a Discord
Nitro Code Generator
asec.ahnlab.com/en/47789/