Exodusを送り込む新しい手口

Exodusは、以前から確認されている暗号資産を狙うマルウェアです。
このExodusといくつかの他のインフォスティーラー型マルウェアを送り込む、新しいバックドア型マルウェアが確認されています。
どのように動作するのでしょうか。

• Activator.app
  Activator.appは、マルウェア感染のステージ1を構成します。
  このマルウェアは、クラックされたソフトウェアとして配布されます。
  配布物の中には、Activator.appというプログラムとクラックされたソフトウェアが含まれています。
  配布物を開くと、ソフトウェアのインストール手順が画面に表示されます。
  Activator.appを実行すると、ソフトウェアのインストールのためにパスワードの入力を促すダイアログが表示されます。
  いままさにアプリケーションをインストールしようという段階ですので、このパスワードの入力に従う人は多いのではないでしょうか。
  マルウェアは、特権昇格に必要な情報の入手を完了しました。
• Activator.appの追加の仕事
  Activator.appは、パスワードの入手以外にも仕事をしていました。
  感染環境にPythonがない場合に、Pythonそのものをインストールします。
  そして、クラックされたアプリケーションの更新版をダウンロードし、元のActivator.appを起動できない状態に変更したのです。
• ステージ2
  いよいよ、マルウェアの本体の設置動作が始まります。
  マルウェアはC2に通信するのですが、そのC2のアドレスはマルウェア内部で生成されます。
  2つの単語リストの要素を組み合わせた文字列をC2アドレスのホスト名部分として使用します。
  生成したC2アドレスに対して、TXTレコードを要求します。
  TXTレコードは3つ入手され、それらを組み合わせて使用します。
  組み合わされたTXTレコードの応答内容は、暗号化された内容をBase64で符号化したものでした。
  3つのTXTレコードの応答を正しい順番で並べるためのシーケンス番号が先頭に含まれていて、復元時にはこのシーケンス部分を削除して並べて復号化するということになります。
• ステージ3
  ステージ3は、バックドアの設置です。
  設置されるバックドアは、Pythonのスクリプトとして実装されています。
  このバックドアは、送り込まれる段階では、Base64で符号化された状態で取得されます。
  起動されたバックドアは、感染環境の情報を収集し、C2に送信します。
  この段階で使用されるバックドアのコードは、頻繁に更新されていることが確認されています。
  確認されている例としては、約10分から20分に一度の変更が実施されていました。
  どんどん新しい機能に更新されているということなのでしょう。
• ステージ4
  バックドアには、バックドアとしてコマンド実行する機能に加えて、他のマルウェアを設置する機能も実装されていました。
  ExodusやBitcoin-Qtを設置します。
  これらは内容は異なりますが、目的は同じマルウェアです。
  暗号資産に関する情報を取得するマルウェアです。

このマルウェアの手口は、全体を見通すと、よく見られるものといえます。
しかし、ステージ2の部分では、これまでにない手法が使われていました。

自己更新機能付きの任意コマンド実行が可能なバックドアが設置され、暗号資産向けのマルウェアを設置します。
ウォレットのロックが解除された瞬間に、秘密の回復フレーズを盗みだします。
このバックドアがあれば、他の悪事も簡単に実行できそうです。

アプリケーションの入手というシーンは、注意が必要な攻撃点といえます。

参考記事（外部リンク）：Cracked software beats gold: new macOS backdoor stealing
cryptowallets
securelist.com/new-macos-backdoor-crypto-stealer/111778/