Crackされたソフトウェアを装って配布される情報窃取マルウェア 「Raccoon Stealer V2」

Crackされたソフトウェアを装い、CryptBot、RedLine Stealer、Vidar、Raccoon Stealerなどのマルウェアが配布されています。中でも一時活動を休止していたRaccoon Stealerは以前の内容に様々な変更が加えられた上で、2022年5月頃から活動を再開しました。感染した場合、端末の情報が窃取される他、追加のマルウェアがダウンロードされる恐れがあるため注意が必要です。

マルウェアを配布するサイトへの誘導の流れ

Crackされたソフトウェアを装ったマルウェアへ誘導するサイトは、検索エンジンで上位に表示されるようにSEO対策が施されています。そのため、インターネット検索で上位に表示されたサイトだからといって、安心はできません。サイト内では複数のCrackされたソフトウェアが紹介されていますが、ダウンロードされるファイルはいずれもマルウェアです。

Crackされたソフトウェアを装ったマルウェアをダウンロードするまでの概要を図1に示します。一般的に、Crackされたソフトウェアの紹介サイトから実際のダウンロードページに到達するまでには、いくつかのリダイレクトページを経由します。リダイレクト先のページには正規のファイル共有サービスからマルウェア（圧縮されたファイル）をダウンロードするためのボタンやリンクなどが設置されています。ファイルをダウンロードし、実行してしまった場合、マルウェアに感染する恐れがあります。なお、正規のファイル共有サービスに紐づくリンクには短縮URLサービスを利用しているケースなども確認しています。

偽のCrackされたソフトウェアのダウンロードページの例を図2に示します。図2の例では中央の「Download」ボタンを押すことで、正規のファイル共有サービスからパスワード付の圧縮ファイル（zipやrar）がダウンロードされます。偽のCrackされたソフトウェアのダウンロードページには、圧縮ファイルを解凍するためのパスワードが記載されており、こういったページからダウンロードされるファイルはマルウェアの可能性が高く、特に注意が必要です。

なお、Crackされたソフトウェアを装いCryptBot、RedLine Stealer、Vidar、Raccoon Stealerなど、様々なマルウェアが配布される事例を確認しています。

次の章からは、上記の中から2022年5月頃より活動を再開したRaccoon Stealer V2について掘り下げてご紹介します。

Raccoon Stealer V2について

Raccoon Stealer はロシアのアンダーグラウンドフォーラムで販売されている情報窃取型のマルウェアです。2019年から存在が確認[1]されていますが、2022年3月下旬に一度活動を停止しました。これはウクライナとロシアの紛争に関係しているとされています。その後、2022年5月頃から活動を再開し、その際にRaccoon Stealerに様々な更新が加えられ、バージョンがV2に上がっています。

再開当初、C2サーバとの通信時のUser-Agentの値として文字列「record」が設定されていたことから、別名RecordBreakerとも呼ばれています[2]。

今回確認した、Crackされたソフトウェアを装ったRaccoon Stealer V2は、400MBを超える実行ファイルがZIP圧縮され配布されていました。ただし、実際はnull（0x00）や空白文字（0x20）でファイルサイズが水増しされており、実際のサイズは4MB未満でした。水増し部分を図3に示します。

これはユーザを騙す意図の他に、公開されたサンドボックスサービスへのアップロードを阻害する狙いがあるとみられます。Raccoon Stealer V2に限らず、Crackされたソフトウェアを装った多くのマルウェアで同様にファイルサイズが水増しされています。

次に、Raccoon Stealer V2に感染した際の通信の例を図4に示します。Raccoon Stealer V2のC2サーバとのやりとりは暗号化されていないHTTP通信を介して行われます。

感染すると、まずPOSTメソッドで端末の識別IDなどをC2サーバに送信し、そのレスポンスとして設定値を取得します。その後、取得した設定値に基づき、追加ライブラリ（dll）のダウンロードや、窃取した情報の送信、追加のペイロードのダウンロードが行われます。

感染後、最初のC2サーバとの通信（POSTメソッド）について、そのリクエストを図5に、レスポンスの一部を図6に示します。

リクエストにはmachineIdやユーザ名、そしてconfigIdが含まれています。また、レスポンスには設定値として、追加ライブラリ（dll）のダウンロード先や窃取対象の情報、追加ペイロードのダウンロード先などが含まれています。旧バージョンのRaccoon Stealerはこの設定値をJSON形式で取得していましたが、 V2からはカスタム形式で取得する方式に変更されています。

なお、設定値の先頭文字には窃取対象を表すキーワードなどが含まれています。例えば、「wlts_」は窃取対象とする暗号資産のウォレットと関連ファイルについて、「ews_」は搾取対象とする拡張機能について、「tlgrm_」は窃取対象とするTelegramのフォルダやファイルについての項目です。設定値には暗号資産に関する項目が多数含まれていることを確認しており、Raccoon Stealer V2が暗号資産の情報にとても注目していることがうかがえました。

今回のRaccoon Stealer V2は暗号資産に関する情報の他に、端末のシステム情報やインストールされたアプリケーション情報、Webブラウザのクッキー情報などを窃取対象としていました。他にスクリーンショットを取得する検体も存在しており、窃取する情報は時期や検体によって少しずつ異なると考えられます。

POSTメソッドでC2サーバに送信された端末のシステム情報やインストールされたアプリケーションの情報（System Info.txt）の例を図7に示します。

検体の静的解析を実施したところ、Windows APIの動的リンク呼び出しに関する処理（図8）が確認できました。LoadLibrary（図8ではLoadLibraryW）とGetProcAddressを使用して、必要な各関数を動的に読み込んでいます。これは検出回避などを狙っているものと考えられます。これもRaccoon Stealer V2からの変更点です。

Raccoon Stealer V2では内部に暗号化された複数の文字列がハードコードされています。
今回確認したRaccoon Stealer V2では、内部文字列がXORによって暗号化されていることを確認しました。図9にそのXORによって暗号化された文字列を復号する処理を示します。

図9に示している例では、暗号化された文字列「C^VGX>」をXOR key「72155a28cdea4a13」で復号することで、文字列「tlgrm_」を取得することができます。なお、XOR keyは暗号化された文字列ごとに異なるため、検体には多数のkeyがハードコードされていました。

XOR暗号を復号することで取得された内部文字列の一部を以下に示します。ここには、C2サーバとの通信でやりとりされる文字列や、ダウンロードされる追加ライブラリ名など様々な値が含まれています。

• tlgrm_
• ews_
• grbr_
• dscrd_
• OS: %s
• Time zone: %c%ld minutes from GMT
• Display size: %dx%d
• Architecture: x%d
• CPU: %s (%d cores)
• \autofill.txt
• logins.json
• \cookies.txt
• \passwords.txt
• Content-Type: application/x-www-form-urlencoded; charset=utf-8
• Content-Type: multipart/form-data; boundary=
• wallets
• scrnsht_
• sstmmfjm\
• token:
• nss3.dll
• SOFTWARE\Microsoft\Windows NT\CurrentVersion
• PATH
• GdiPlus.dll
• Gdi32.dll
• Profiles
• guid":
• encryptedPassword":"
• encryptedUsername":"
• POST
• SELECT host_key, path, is_secure , expires_utc, name, encrypted_value FROM cookies

etc

また、同様にC2サーバの宛先についてもXORによって暗号化されていることを確認しました。XORによって暗号化されたC2サーバの宛先を図10に、その暗号化されたC2サーバの宛先を復号する処理を図11に示します。

XOR keyの「1cc241ba798c46bba032c77770c8298c」は最初のPOSTメソッドの通信（図4）でC2サーバに送信しているconfigIdです。

XORによって暗号化された文字列については、公開されているWEBアプリなどを使用して簡単に複号できます。CyberChefを利用してC2サーバの宛先を復号した例を図12に示します。

XOR暗号を復号して取得されたC2サーバの宛先を以下に示します。

• 193[.]43[.]146[.]190
• 5[.]182[.]39[.]34

また、今回確認した検体では内部文字列をXORによって暗号化していましたが、Raccoon Stealer V2の中には、内部文字列をBase64＋RC4で暗号化している検体も確認しています。図13に別のRaccoon Stealer V2で確認したBase64＋RC4で暗号化された内部文字列を復号する処理を示します。

復号には、ロシア語で「United Russia」を意味するRC4 key「edinayarossiya」が使用されています。XOR暗号の検体とは異なり、Base64＋RC4暗号の検体では全て同一のkeyが利用されていました。

Raccoon Stealer V2には内部文字列やC2サーバの宛先をXORによって暗号化するパターンとBase64＋RC4によって暗号化するパターンが存在しています。ただし、2022年9月中旬時点でダウンロードされるRaccoon Stealer V2については、XORによって暗号化するものが多数派であるようです。

その他、感染可能かどうかミューテックスをチェックする処理（図14）を確認しています。ミューテックスが存在する場合は処理が終了し、存在しない場合はミューテックスを作成します。なお、ミューテックスの値は検体ごとに異なります。

次の章ではRaccoon Stealer V2よりダウンロードが確認されたClipboard Hijackerについて詳しく説明します。

Clipboard Hijackerについて

Clipboard Hijackerは名前の通り、感染端末のクリップボードを不正に書き換えるマルウェアです。今回は書き換え先と考えられる複数の暗号資産のウォレットアドレスを確認しました。Clipboard Hijackerによってクリップボードのウォレットアドレスが不正に攻撃者のウォレットアドレスに置換された場合、暗号資産の流出につながる恐れがあります。

なお、Raccoon Stealer V2のC2サーバとの通信から、追加のペイロードに関する設定値（図15）を確認できました。そこには、ペイロードのダウンロード先の他、実行ディレクトリ（%APPDATA%\）やファイル形式（exe）などが含まれていました。

Raccoon Stealer V2によって「%APPDATA%\」にダウンロードされたClipboard Hijackerのペイロード（今回であれば6VLHO5Ci.exe）を図16に示します。

Clipboard Hijackerのペイロードが実行されると、同ディレクトリのEventViewerフォルダ内にeventviewer.exeが作成されます。加えて、タスクスケジューラに「Event Viewer Snap-in Launcher(29762912)」が登録され、5分おきにeventviewer.exeを実行するように設定されます。登録されたタスクスケジューラの設定値を図17に示します。

Clipboard Hijackerのペイロードは設定された名前やアイコンから、EventViewerを装っているものと考えられます。

ペイロードに含まれる特徴的な文字列を調査したところ、攻撃者のウォレットアドレスと考えられる文字列を複数確認できます。

確認したウォレットアドレスの一部を以下に示します。

■BTC

• 14YF8v4REatv9DTRcYQ96hXjTrvAMNAFDw

• 3Cruz3Bhdjeih4p9Tu7zesQieD8KT7fkj4

• bc1q5juw3z64tkgadedw7w6ec7rec3ug03tmc3qxqa

■LTC

• LKQkjq9TAaKY1uhNKCwVvbWS6QcMcHSRuT

• MSpumfAMYisfRAM6nhvXaXjmdD2zBVqnHj

• ltc1qmhkgr4lg4yd0a62qx5wte2aaqscrv4psl8d2cf

■ETH

• 0x774B716ee5176f7f4eE429F62F688e0AC2e6d504

etc

Clipboard Hijackerに感染した場合、クリップボードを監視されます。

そして、暗号資産のウォレットアドレスをコピーすると、Clipboard Hijackerによって不正に攻撃者のウォレットアドレスに書き換えられてしまうため注意が必要です。

被害に遭わないために

Crackされたソフトウェアを装ったマルウェアの配布は長期間にわたって行われているため注意が必要です。特にダウンロードページへ複数のリダイレクトページを経由する場合や、ダウンロードしたファイルに「123」といった簡単なパスワードがかかっている場合はマルウェアの可能性が高いため、不用意に解凍・実行しないことを推奨します。

また、外部からダウンロードしたファイルを実行する際は、信頼できる提供元かどうかを確認することが大切です。

他には、今回ご紹介したClipboard Hijackerのように、タスクスケジューラに登録するマルウェアも存在するため、不審なプログラムが登録されていないか確認されてはいかがでしょうか。

タスクスケジューラに登録された不審なファイルなどが確認された際は、簡単に攻撃の痕跡を調査できる弊社提供の無料ツール「FalconNest（ファルコンネスト）」の活用をご検討ください。

• 無料調査ツール「FalconNest（ファルコンネスト）」

https://www.lac.co.jp/solution_product/falconnest.html

考察

Raccoon Stealer V2は今回のバージョンアップで様々な変更が加えられました。窃取する情報の対象が広がり、動作速度の向上も図られています。また、内部文字列の暗号化なども行われています。

今回は、その内部文字列の暗号化手法としてRC4暗号の他にXOR暗号が追加されたことなどを確認しています。内部文字列をRC4によって暗号化するRaccoon Stealer V2は復号のためのkeyが1つでしたが、XORによって暗号化するRaccoon Stealer　V2は復号のために多数のkeyが用意されているため、より解析に時間がかかるように更新されています。

Raccoon Stealerの開発は継続していくと考えられるため、今後もその状況を注視していきます。

参考情報

[1] Hunting Raccoon: The New Masked Bandit on the Block

https://www.cybereason.com/blog/research/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block

[2] 新種の情報窃取マルウェア、クラックツールに偽装して拡散中

https://asec.ahnlab.com/jp/35934/

IoC（Indicators of Compromise）

■ファイル

• Raccoon Stealer V2

7d717e5baf295d78e7f2e7fc229f492a5df93c18dcd8b7999a866445f698c497（SHA256）

• Clipboard Hijacker

81cb6dc7ffddcaed48f2768ad759133d264ca6949f86007bfa6e365f76a6564f（SHA256）

■通信

• Raccoon Stealer V2 C2

193[.]43[.]146[.]190（TCP）

5[.]182[.]39[.]34（TCP）

• Raccoon Stealer V2 User-Agent

mozzzzzzzzzzz

qwrqrwrqwrqwr

rqwrwqrqwrqw

• Clipboard Hijacker DL

146[.]19[.]173[.]33（TCP）

ラックが提供するサービス

ラックの知見を結集し、最新のサイバー攻撃を防御・検知するためのブロックリストを作成しました。

脅威情報提供サービス「JLIST®」

資料ダウンロードフォーム

https://cp.lac.co.jp/entryform/jlist_material_document

JLISTは、国産の脅威情報（ブロックリスト）提供サービスです。

最新のサイバー攻撃を未然に防御するために、セキュリティ対策製品と連動可能な脅威情報を提供しています。セキュリティ製品の防御・検知機能と連動するので、お客様の手を煩わせることなくインシデント発生前に防御が可能です。

JSOC® マネージド・セキュリティ・サービス(MSS)

不正侵入検知とセキュリティ機器を24時間365日リアルタイムに監視、運用しています。

https://www.lac.co.jp/operation/mss.html

JSOCのマネージド・セキュリティ・サービス（MSS）はお客様の不正侵入検知能力を大幅に向上させるセキュリティ監視・運用サービスです。巧妙なサイバー攻撃が増加するIT環境において、不正アクセス監視によるセキュリティ対策の水準を上げます。また、複雑なセキュリティ監視機器を運用し、不正アクセスを防ぎます。

サイバー救急センター

Raccoon Stealerが検知された場合などには緊急対応窓口：サイバー救急センターをご活用ください。

https://www.lac.co.jp/corporate/unit/cyber119.html

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。