営業担当者へ連絡
ホーム   /  マルウェア  / MIRUS – 暗号通貨マイニングウイルス
MIRUS – 暗号通貨マイニングウイルス

MIRUS – 暗号通貨マイニングウイルス

著者 プレクシャ・サクセナ
プレクシャ・サクセナ
マルウェア
1
シェアする

暗号通貨は今や大流行しており、それに伴い暗号通貨のマイニング活動も増加しています。複数のプラットフォームがユーザーにマイニングサービスを提供しています。ウェブサイト向けにJavaScriptベースの暗号通貨マイニングツールを提供しているプラ​​ットフォームの一つがCoinHiveです。最近、マイニングスクリプトによってユーザーファイルに感染するウイルスを解析しました。

CoinHiveは、ウェブサイト所有者にマイニングJavaScriptを埋め込むことで、サイト訪問者のCPUパワーを利用して仮想通貨をマイニングし、収益化を図る人気のブラウザベースのサービスです。ファイル感染型ウイルスは、クリーンなファイルに悪意のあるコードを添付することで拡散します。そのため、今回のマルウェア作成者は、マイニングスクリプトをウイルスのペイロードとして使用することで、ユーザーのマシン上で時間的・空間的に一貫したマイニングを可能にしています。

最近、Quick Heal Security Labsは、HTMLファイルにCoinHive JavaScriptを挿入することで、ファイル感染とマイニングの両方を行うマルウェアを発見しました。この興味深い新たな改変は注目を集め、研究者にとって新たな課題を提示しています。

図 1 の統計は、10 年 2018 月の最初の XNUMX 日間における CoinHive マルウェアの毎日のサーバーヒットを示しています。

図1. XNUMX日あたりのサーバーヒット数

 

クイックヒールセキュリティラボによる分析

このマルウェアは、拡張子が*.exe、*.com、*.scr、*.pifなどのファイルに感染する、プリペンディング型ウイルスです。悪意のあるコードはクリーンなファイルのプリペンドに追加され、元のクリーンなファイルはアペンドデータとして保持されます。また、このマルウェアは拡張子が*.HTMLまたは*.htmのファイルを検索し、CoinHive JavaScriptをファイルに付加します。

マルウェアは、隠し属性を持つ自身のコピーを次の場所 (図 2) にドロップし、それが実行されます。

図2. 隠しモードの自身のコピー

 

図 3 に示すレジストリ エントリが追加され、システムの起動ごとに自動的に実行されるようになります。

図3. スタートアップのレジストリエントリ

 

ウイルス対策ベンダーのWebサーバーやアップデートサーバーへのアクセスをブロックするために、WindowsのHOSTSファイルを改変します。その結果、複数のウイルス対策ベンダーのWebサイトにアクセスできなくなり、一部のウイルス対策プログラムがアップデートを受けられなくなる可能性があります。図4は、HOSTSファイルに追加された内容を示しています。

図4. HOSTファイルのエントリ

 

さらに多くのレジストリ エントリが変更され、レジストリ ツールが無効になり、フォルダー オプションが無効になり、ユーザー アカウント制御が無効になり、セーフ モードが無効になるために次のレジストリ エントリも削除されます (図 5)。

図5. レジストリエントリ

 

図6は、HTMLファイルに追加されたCoinHiveスクリプトの内容を示しています。公式情報によると、「yuNWeGn9GWL72dONBX9WNEj1aVHxg49E」がユーザーサイトキーです。

図6. CoinHiveスクリプト

 

ユーザーが感染したHTMLファイルを実行すると、マルウェアによって挿入されたCoinHiveスクリプトが実行され、接続要求がCoinHiveサイトへ送信されます(図7)。min.jsというJavaScriptコード形式でレスポンスが到着すると、マイニングが開始されます。coinhive.comは、JavaScriptのWebAssemblyを使用してマイニングを高速化するために、worker.wasmという別のレスポンスを送信します(図7)。

図7. coinhive.comからのリクエストとレスポンス

 

応答として返された CoinHive.min.js を図 8 に示します。

図8. min.jsの内容

 

スクリプト実行中は、図9に示すように、CPU使用率全体がマイニングに使用されます。感染したHTMLページが閉じられると、マイニングは停止します。このマルウェアファミリーでは、悪意のあるHTMLファイルがユーザーによって実行されるとマイニングが開始され、ファイルが閉じられるとマイニングが停止します。

図9. 感染したHTMLファイル実行時のCPU使用率

 

マルウェア作成者は、金銭的利益を得るために、何らかの方法でマイニングサービスを利用しています。ユーザーの皆様には、疑わしいウェブサイトの閲覧を避け、システムがこれらのマルウェアに感染するのを防ぐため、ウイルス対策ソフトを最新の状態に保つことをお勧めします。

Quick HealはCoinHiveスクリプトをブロックし、不正なマイニングやCPUの過剰な使用から顧客を保護します。また、感染したファイルの削除と修復も確実に行います。

クイックヒール検出

  • 悪意のあるファイルは「W32.CoinMiner.A4」として検出されます
  • 悪意のあるHTMLファイルは「HTML.Miner.A」として検出されます
  • CoinHive JavaScriptは「JS.Cryptmine.3373」として検出されます

妥協の指標

9d51257fe591daccf4599ee1c3778066

主題専門家

Preksha Saxena、Rumana Siddiqui | クイックヒールセキュリティラボ

プレクシャ・サクセナ

プレクシャ・サクセナについて

プレクシャはクイックヒール・セキュリティ・ラボのセキュリティ研究者で、サイバーセキュリティ分野で6年の経験があります。彼女はリバースエンジニアリングに興味を持っています…

Preksha Saxenaによる記事 »

関連記事