Bitcoin Infostealer をめぐる状況が奇妙な展開になってきました。先日のブログでは、Bitcoin マイニングが儲けになるのかどうかを分析し、続いて、無警戒なユーザーから Bitcoin を盗み出そうとするマルウェア(Infostealer.Coinbit)についてご報告しました。
今度は、いくぶんの進化をとげた Infostealer.Coinbit のサンプルがさらに 2 つ発見されました。
新しいサンプルの特徴
第 1 に、新しいサンプルも以前のブログでお伝えしたサンプルと同じ作成者の手によるもののようです。バイナリ実行可能ファイルの構造が酷似しており、同じ文字列も含まれています。
図 1: 新旧のサンプルからダンプした文字列の比較
サンプル中のメールアカウント情報は同じ(またはほぼ同じ)であり、盗み出した Bitcoin ウォレットがそのアカウントに送信されます。
第 2 の特徴は、見覚えのあるデータが含まれていることです。
図 2: W32.Induc.A 感染コードの一部
このコードに見覚えはありませんか。そう、同じコードが W32.Induc.A のときに確認されています。これは Delphi のソースコードファイル(バイナリ実行可能ファイルではない)に感染するワームです。ということは、Infostealer.Coinbit の作成者自身が W32.Induc.A に感染していたということになります。Infostealer の Delphi 実行可能ファイルをコンパイルするとき、Induc の感染コードも実行可能ファイルに入り込んでしまったのです(先日のブログでご報告した元のサンプルは Induc に感染していませんでした)。
興味深いのは、これらのサンプルが(感染前と感染後のどちらも)Virus Total で発見されたということ、そしてすべて同じ日(6 月 15 日)に Virus Total に送信されていたということです。これは、Bitcoin のフォーラムによれば、Infostealer の拡散が始まった日に当たります。
説明として考えられるのは、作成者が自分も Induc に感染していることを知らずに Infostealer を開発したということです。そして、(ウイルス対策ソフトで検出されるかどうかを確認する目的で)Virus Total にアップロードした時点で自分のコンピュータが感染していたことに気付いて感染を除去したために、Induc に感染していなかった最終形のバイナリが公開されるようになったということです。あるいは、ソースコードが別の誰か(感染していた者と、感染していなかった者)の手に渡ったという可能性もあります。いずれも推論の域を出ないもので、真相はわかりません。
さらには、Infostealer の実行可能ファイルに平文でアカウントパスワードが残されていて、誰でも簡単に読み取れる状態になっている点が挙げられます。あるサンプルで、作成者からのメッセージが見つかったのも、おそらくはこれが理由です。
図 3: このメッセージのおおよその意味: 「If you are looking for it, stop and go mine your bitcoins, or else I may get you the next time(もしそのつもりだったら、Bitcoin マイニングはほどほどに。でないと、次はどうなっても知らないよ)」
このメッセージは、作成者が以前にアカウントをハッキングされてデータを盗み出された結果だろうと考えられます。作成者の脅しにもかかわらず、Bitcoin.org フォーラムユーザーはすでにこの作成者を突き止めた可能性があることが、フォーラムの投稿からうかがえます。
これらのサンプルはすべて、シマンテックの最新の定義で検出されていますので、シマンテック製品をご利用のお客様は、ウイルス対策定義を最新の状態に保ち、Bitcoin データを管理する際には予防対策を講じてください。
このブログに情報を提供してくれた Peter Coogan 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。