偽のMSI AfterburnerポータルがWindowsゲーマーを狙って暗号通貨をマイニング

偽のMSI Afterburnerダウンロードポータルが、WindowsのパワーユーザーとWindowsゲーマーを狙い、暗号通貨マイナーとRedLine情報盗難マルウェアで感染させているとの新しい報告がCybleの研究者によって発表されました。

まず、MSI Afterburnerは、ユーザーがオーバークロックを設定し、ビデオを録画し、ファンプロファイルを作成し、インストールされたグラフィックカードとCPUの使用状況を監視できるGPU機能です。

この機能はほぼすべてのグラフィックで使用できるため、世界中の何百万ものユーザーが自分の要件に応じて設定を変更します。つまり、温度を下げたり、ゲームパフォーマンスを向上させたりするためです。

これらの要素は、このツールをWindowsのパワーユーザーや強力なGPUを使用するゲーマーを狙う攻撃者にとって良いターゲットにしています。攻撃者はそれを利用して暗号通貨をマイニングすることができます。

Cybleによると、過去3ヶ月で、公式のMSI Afterburnウェブサイトを模倣し、XMRマイナーと情報盗難マルウェアを押し付ける50以上のウェブサイトがインターネット上に現れました。

読む: AXLockerグループのランサムウェアが感染したユーザーのDiscordアカウントを盗む

さらに、このキャンペーンは、ユーザーを欺いて正当なMSI Afterburnウェブサイトであると信じ込ませるために、同一のドメイン名を使用しました。これはブラックSEOを使用してプロモーションを行うのが容易です。これらはCybleによって特定されたドメインの一部です。

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

さらに、他のケースでは、ドメインはMSIブランドを使用せず、メッセージ、ソーシャルメディアの投稿、フォーラムを通じてプロモーションされている可能性があります。

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

偽のMSI Afterburnerセットアップファイル（MSIAfterburnerSetup.msi）が実行されると、有効なファイルがインストールされます。ただし、インストーラーは静かにRedLine情報盗難マルウェアと感染したデバイスにXMRマイナーをドロップして実行します。

XMRマイナーは、ローカルプログラムファイルディレクトリにある「browser_assistant.exe」という名前の64ビットPython実行可能ファイルを介してインストールされ、インストーラーによって作成されたプロセスにシェルを挿入します。

シェルコードはGitHubアーカイブからXMRマイナーを取得し、explorer.exeプロセスのメモリに直接注入します。XMRマイナーはディスクと対話しないため、セキュリティ製品によって検出される可能性は非常に低いです。その後、XMRマイナーはハードコーディングされたユーザー名とパスワードを使用してマイナープールにリンクし、脅威攻撃者に基本的なシステム情報を提供します。

読む: 休暇シーズン中に北米を狙ったフィッシングメールキット！

マイナーが使用する機能の1つは、「CPU最大スレッド」が20に設定されており、ほとんどのCPUスレッドを超えてすべての利用可能な電力を消費するように設定されています。XMRマイナーは1時間後にマイニングを開始し、CPUがアイドル状態になるため、侵害されたPCがリソースを消費するタスクに使用されておらず、放置されている可能性があることを示しています。

さらに、cinit-stealth-targets機能を使用しており、これは特定のプログラムが「ステルスターゲット」としてリストされている場合にマイニングを一時停止し、GPUメモリをクリアするオプションです。これらは、被害者が悪意のあるプロセスを特定するのを助けるプログラム、つまりウイルス対策ソフトウェア、ハードウェアリソースビューアなどである可能性があります。

このシナリオでは、Windowsアプリケーションから隠れようとするマイナーはtaskmanager.exe、procexp.exe、Processhacker.exe、perforn.exe、およびprocexp64.exeです。同時に、XMRマイナーは静かにあなたのリソース（モネロ）を制御し、RedLineはすでにバックグラウンドでブラウザデータ、クッキー、パスワード、および可能な暗号通貨ウォレットを盗んでいました。

残念ながら、ほぼすべての偽MSI Afterburnキャンペーンコンポーネントは悪いウイルス対策ソフトウェア検出を持っており、VirusTotalによる報告では、MSIAfterburnerSetup.msiセットアップファイルは56のセキュリティソフトウェアのうち3つにしか検出されず、browser_assistant.exeは67のうち2つにしか検出されないとされています。

読む: Mirai RapperBotマルウェアがオンラインゲームサーバーをDDoS攻撃