2022 年 2 月 8 日 Ryan Estes 著

2020 年初頭に新型コロナウイルスのパンデミックが始まった際、Oski Stealer という新種のマルウェアが研究者によって発見されました。Cookie、履歴、支払い情報、オートフィル情報などのブラウザデータや、暗号通貨ウォレット、アプリケーションのログイン認証情報、Authy の 2 要素認証（2FA）の情報などを盗むことが可能なマルウェアです。また、デスクトップのスクリーンショットを撮り、C2 サーバとの間で相互にファイル転送を実行することも可能です。

Oski は、管理者パスワードが脆弱なルータにアクセスし、DNS 設定を変更して Windows ネットワーク接続状態インジケータ（NCSI）のアクティブプローブをハイジャックすることでこれらの攻撃を行ったと考えられます。Windows では、これらのプローブを利用して、コンピュータのインターネット接続をテストするために、定期的に http://www[.]msftconnecttest[.]com/connecttest.txt に接続し、テキストファイル内の既定の文字列（”Microsoft Connect Test”）を返信しています。プローブが正しい文字列を返して受け取った場合、Windows はインターネット接続が機能していると見なします。しかし、ルータが乗っ取られた場合、悪意のあるドメインに接続して別のファイル（Oski マルウェア）をダウンロードすることができます。マルウェアの製作者は、同年 7 月に突然姿を消すまでの数カ月間、Telegram やフォーラム上で Oski を販売していました。

しかし先週、Oski が「Mars Stealer」と呼ばれる新しい亜種として復活しました。Mars Stealer は Oski と同様の動作をしますが、さらにリバースエンジニアリング防止と情報窃取のための機能も備えています。具体的には、難読化技術、解析対策技術、セキュリティチェック、外部 DLL 依存のダウンロード、ファイル転送とファイル実行を可能にするための独自のファイル操作機能とカスタムローダ、自己削除機能、そして当然ながら情報を盗み出す機能などです。また、Mars Stealer は MaaS としてフォーラムで販売されているため、さまざまな追加の機能を実行するように調整が可能です。

難読化技術

• 文字列の難読化
  ⇒ プログラム内の文字列は Base64 および RC4 暗号を使用して暗号化されています。
• ランタイム・ダイナミック・リンク
  ⇒ 暗号化された DLL は、コンパイル時ではなく、実行時に復号化されてロードされるため、実行前にマルウェアの機能を分析することが難しくなります。

解析対策技術

• GetTickCount() & Sleep()
  ⇒ この 2 つの関数は、分析者によるプログラムのデバッグを妨害するためによく使われます。一定の時間が経過したかどうかをチェックし、実行時間が指定された時間を超過すると、プログラムは終了します。
• エミュレーション対策
  ⇒ マルウェアが隔離された環境や仮想マシンで動作しているかどうかを確認する技術です。

セキュリティチェック

• GetUserDefaultLangID()
  ⇒ マシンが独立国家共同体（CIS）におけるデフォルト言語を使用しているかどうかを検出します。
• ミューテックス
  ⇒ 二重実行を回避します。
• コンパイルチェック
  ⇒ コンパイル時期が過去 1 ヶ月以内の場合のみマルウェアが実行されます。

外部 DLL 依存のダウンロード
DLL は必要に応じて C2 からダウンロードされます（既知の C2 は、cookreceipts[.]fun）。

独自のローダとファイル操作機能
Mars Stealer には、ファイル転送やファイル実行を可能にするための独自ローダとファイル操作機能が含まれています。

自己削除機能
この機能により、マルウェアのアーティファクトを除去し、インシデントレスポンス機能を回避します。

情報窃取機能
Mars Stealer がユーザデータ、および認証情報を標的にしている Web ブラウザは以下です。

Amigo, BlackHawk, BraveCent Browser, Chrome, Chromium, CocCoc, Comodo, CryptoTab Browser, Cyberfox, Elements Browser, Epic Privacy Browser, Firefox, IceCat, K-Meleon, Kometa, Maxthon5, Microsoft Edge, Nichrome, Opera, Opera GX, Opera Neon, Orbitum, Pale Moon, QIP Surf, SlimBrowser, Sputnik, Thunderbird, TorBro, Torch, Uran, Vivaldi, Waterfox

Mars Stealerが拡張機能のデータを標的にしている Web ブラウザは、以下です。

• 暗号通貨ウォレット
  

  Auro Wallet、Binance Chain Wallet、BitApp Wallet、BitClip、Byone、Clover Wallet、Coin98 Wallet、Coinbase Wallet、Cyano Wallet、DAppPlay、EQUAL Wallet、Guarda、GuildWallet、Hycon Lite Client、ICONex、Jaxx Liberty、KHC、Keplr、LeafWallet、Liquality Wallet、MEW CX、Math Wallet、MetaMask 、Nabox Wallet、Nash Extension、NeoLine、Nifty Wallet、OneKey, Polymesh Wallet、Ronin Wallet、Saturn Wallet、Sollet、Steem Keychain、Temple、Terra Station、TezBox、TronLink、Wombat、Yoroi、ZilPay、iWallet

• 2FA 拡張機能
• Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager

Mars Stealer がアドレス、シード、その他の機密情報を標的にしている暗号通貨ウォレットは以下です。

Atomic, Binance, Coinomi, Electron Cas, Electrum, Electrum LTC, Ethereum, Exodus, Jax, MultiDoge

このようにさまざまなアプリケーションが影響を受けており、読者の方も、少なくとも 1 つ以上を使用している可能性が高いでしょう。インターネットからファイルをダウンロードする際やハイパーリンクをクリックする際には、引き続き注意が必要です。以下の基本事項を忘れないようにしてください。

• 常識で考える。怪しいと思われるリンク、不明または不審なユーザからのリンク、無料のお金やギフトカードなどの「都合の良すぎる話」が添付されたリンクはクリックしないようにしてください。
• 確定する前に検証をする。ドメイン名、メールアドレス、ファイル名、ファイルの場所、IP アドレスなど、何か行動をとる前に、特に機密情報が関わってくる場合は、詳細を確認してください。
• 異常な挙動は報告する。組織で働いていて、自分のマシンの挙動が少しでもおかしいと感じたら、迷わず IT または IR の専門家にその挙動を報告してください。後悔するよりも安全を選びましょう。

＜参考文献＞
https://3xp0rt.com/posts/mars-stealer#browsers-and-2facrypto-extension
https://www.bleepingcomputer.com/news/security/hackers-hijack-routers-dns-to-spread-malicious-covid-19-apps/
https://www.bleepingcomputer.com/news/security/powerful-new-oski-variant-mars-stealer-grabbing-2fas-and-crypto/
https://www.cyberark.com/resources/threat-research-blog/meet-oski-stealer-an-in-depth-analysis-of-the-popular-credential-stealer
https://docs.microsoft.com/en-US/troubleshoot/windows-client/networking/internet-explorer-edge-open-connect-corporate-public-network
https://www.nti.org/education-center/treaties-and-regimes/commonwealth-independent-states-cis/