ひっそり広がるDcRAT

DcRATは名前の示す通りリモートアクセストロイです。
このDcRATを使ったキャンペーンが広がっています。
攻撃者がデータや資格情報を盗んだり、感染したデバイスにランサムウェアを展開したりします。
どんな風に展開されるのでしょう。

• 初期感染
  初期感染経路は明らかになっていません。
  しかし内容から、悪意のあるフォーラムへの投稿、インスタントメッセージ、マルバタイジング、特定の検索語で上位にランクされるブラックSEOサイトなどが考えられます。

   

• 動機
  世の中にはたくさんの人気サイトがあります。
  そういったサイトの中には、会員制のサイトが多くあり、閲覧のためには有償のアカウントの維持が必要なものもあります。
  そしてこういった人気サイトの一定の割合を占める領域の一つにアダルトサイトがあります。

   

• ルアー
  知名度の高いアダルトサイトを有償のアカウントを使うことなく閲覧できます、と説明された情報が置かれます。
  これがルアーとなります。
  閲覧者の中にはその情報の示すファイルを入手する人がいます。

   

• ルアーの実行
  ダウンロードしたファイルはZIPファイルです。
  ZIPファイルをダウンロードした人はそれを展開するでしょう。
  そしてZIPファイルをダウンロードして中身を展開した人はでてきたファイルを実行するのだと思います。

   

• ローダー
  ZIPからでてきたのはVBスクリプトでした。
  そしてこのスクリプトはローダーの機能の実装された内容になっていました。
  内容は、2021年に特定されているVBスクリプトで作成されたローダーを改造したものでした。
  難読化するなどの手が加えられていますが、動作機構としては基本的にそのままの内容になっています。

   

• 中身
  ローダーは最終的に中身を設置します。
  中身はDcRATです。
  DcRATはGitHubで公開されています。
  すでにリポジトリは凍結されていますのでこの場所でこれ以上開発が継続されることはありませんが、2021年当時のソースコードや開発用のファイル一式は公開されたままですので、これを入手することは誰でも可能です。
  DcRATには、キーロギング、リモートアクセス、Webカメラ監視、ファイル操作、ブラウザ認証情報とCookieのスティーラー、Discordトークンスティーラーの機能が搭載されています。
  ランサムウェアプラグインもあります。

このマルウェアキャンペーンの道具は2つのマルウェアでしたが、そのどちらも既存のもので入手が容易なものが使われていました。
しかしなかなかこのキャンペーンの存在は明らかになりませんでした。
理由はいくつかありそうなのですが、大きいと思われるのは次の2つです。
ローダーの機構が被害者環境のセキュリティ機構を回避できるように動作できてしまいなかなか検出できなかった、という点が一つ。
そしてもう一つは、アダルトコンテンツに関連したルアーを使うことで被害者が被害にあったことを自己申告する可能性が下がった、というものがあったように思われます。

心の隙間とセキュリティ機構の最新状態の維持、気をつけたいものです。

参考記事（外部リンク）：OnlyDcRatFans: Malware Distributed Using Explicit Lures of
OnlyFans Pages and Other Adult Content
www.esentire.com/blog/onlydcratfans-malware-distributed-using-explicit-lures-of-onlyfans-pages-and-other-adult-content