Backdoor.Win32.DEVILSHADOW.THEAABO

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

トレンドマイクロは、サイバー犯罪者がビデオ会議アプリ「Zoom」の人気に便乗し、バックドア型マルウェアを同梱させた偽のZoomインストーラをユーザにインストールさせる手口を確認しました。これらの偽のZoomインストーラは、不正サイトや不審サイト上に設置されていると考えられます。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\pyclient.cmd → Detected as Backdoor.BAT.DEVILSHADOW.THEAABO
• %User Temp%\cmd_shell.exe → Detected as Trojan.Win32.DEVILSHADOW.THEAABO
• %User Profile%\boot-startup.vbs → Detected as Trojan.BAT.DEVILSHADOW.THEAABO
• %User Profile%\new_script.txt → Detected as Trojan.JS.DEVILSHADOW.THEAABO
• %User Profile%\shell.bat → Detected as Trojan.BAT.DEVILSHADOW.THEAABO
• %User Temp%\zoom.exe → Legitimate Zoom Installer
• %User Profile%\node.exe → Legitimate node.exe
• %System Root%\botnet\client_id_file → contains generated_id
• %System Root%\botnet\bot_id_{Generated ID} {Hostname} {IP Address} {Client} → Client Identifier
• %System Root%\botnet\botnet_start.vbs
• %System Root%\botnet\wget.js
• %System Root%\botnet\pyclient.cmd → Copy of the one in %User Temp%
• %System Root%\botnet\scexec-win32.exe
• %System Root%\botnet\scexec-win64.exe
• %System Root%\botnet\Rar.exe
• %System Root%\botnet\K7firewall.exe
• %System Root%\botnet\unzip.exe
• %System Root%\botnet\webcam.exe
• %System Root%\botnet\execute.vbs
• %User Temp%\av → contains result of Anti-Virus Query

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe /c %User Temp%\pyclient.cmd
• %System%\cmd.exe /c %User Temp%\cmd_shell.exe
• %System%\cmd.exe /c %User Temp%\zoom.exe
• %System%\cmd.exe /c cd %userprofile% & attrib +s +h +a *.vbs & attrib +s +h +a *.bat & reg add Hkey_CURRENT_USER\software\microsoft\windows\currentversion\run /v bootstartup /t reg_sz /d %userprofile%\boot-startup.vbs /f & shell.bat
• %System%\cmd.exe /c "Tasklist /FI WINDOWTITLE eq D3ViL ShaDow"
• %System%\cmd.exe /c "Tasklist /FI WINDOWTITLE eq Administrator: D3ViL ShaDow"
• %System%\cmd.exe attrib +s +h +a %System Root%\botnet
• %System%\cmd.exe copy /y %User Temp%\pyclient.cmd %System Root%\botnet\pyclient.cmd
• %System%\cmd.exe reg add hkcu\software\microsoft\windows\currentversion\run /v botnet /t reg_sz /d C:\botnet\botnet_start.vbs /f
• %System%\cmd.exe ping www.google.com -n 1
• %System&\cmd.exe unzip.exe -ox python_client.zip
• %System%\cmd.exe %System%\WScript.exe %System Root%\botnet\botnet_start.vbs
• %System%\cmd.exe copy /y %System%\cmd.exe %Public%\explorer.exe
• %System%\cmd.exe %User Profile%\node.exe new_script.txt
• %Public%\explorer.exe
• %System&\cmd.exe wmic /namespace:\root\securitycemter2 path antivirusproduct GET displayName, productState, pathToSignedProductExe

マルウェアは、以下のフォルダを作成します。

• %System Root%\botnet

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
bootstartup = %User Profile%\boot-startup.vbs

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
botnet = %System Root%\botnet\botnet_start.vbs

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Update/Reset/Terminate Client (Self)
• Load Client Modules (Self)
• Log Keystrokes
• Take Screenshots
• Record Desktop
• Operate Webcam
• Operate CMD
• Install Programming Languages
• Download/Upload/Execute Files
• Install and Operate Ngrok
• Install and Operate WinVNC
• List and Modify AutoStart Registries
• List, Add and Start Scheduled Tasks
• Check and Elevate User Privileges
• Execute Shellcode and Scripts
• Harvest the Following Information:
  • Process List
  • Drive List
  • Directories and Files List
  • System Info
  • Startup Items
  • AntiVirus Info
  • Locally Stored Credentials

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• https://hosting303.{BLOCKED}hostapp.com
• madleets.{BLOCKED}s.net:4444

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• https://raw.{BLOCKED}usercontent.com/DevilBot000/Tools/master/unzip.exe → %System Root%\botnet\unzip.exe
• https://raw.{BLOCKED}usercontent.com/DevilBot000/Tools/master/python_client.zip → %System Root%\botnet\python_client.zip

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\pyclient.cmd → 「Backdoor.BAT.DEVILSHADOW.THEAABO」として検出
• %User Temp%\cmd_shell.exe → 「Trojan.Win32.DEVILSHADOW.THEAABO」として検出<
• %User Profile%\boot-startup.vbs → 「Trojan.BAT.DEVILSHADOW.THEAABO」として検出
• %User Profile%\new_script.txt → 「Trojan.JS.DEVILSHADOW.THEAABO」として検出
• %User Profile%\shell.bat → 「Trojan.BAT.DEVILSHADOW.THEAABO」として検出
• %User Temp%\zoom.exe → 正規のZoomインストーラ
• %User Profile%\node.exe → 正規のnode.exe
• %System Root%\botnet\client_id_file → 生成されたIDを含む
• %System Root%\botnet\bot_id_{生成されたID} {ホスト名} {IPアドレス} {クライアント} → クライアント識別子
• %System Root%\botnet\botnet_start.vbs
• %System Root%\botnet\wget.js
• %System Root%\botnet\pyclient.cmd → %User Temp%内のコピー
• %System Root%\botnet\scexec-win32.exe
• %System Root%\botnet\scexec-win64.exe
• %System Root%\botnet\Rar.exe
• %System Root%\botnet\K7firewall.exe
• %System Root%\botnet\unzip.exe
• %System Root%\botnet\webcam.exe
• %System Root%\botnet\execute.vbs
• %User Temp%\av → ウイルス対策のクエリ結果を含む

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• クライアントの更新/リセット/終了 (自身)
• クライアントモジュールの読み込み (自身)
• キー入力操作情報のログ記録
• スクリーンショットの取得
• デスクトップの録画
• Webカメラの操作
• コマンドプロンプトの操作
• プログラミング言語のインストール
• ファイルのダウンロード/アップロード/実行
• Ngrokのインストールおよび操作
• WinVNCのインストールおよび操作
• 自動実行させるレジストリの一覧表示および変更
• スケジュールされたタスクの一覧表示、追加、開始
• ユーザ権限の確認および昇格
• シェルコードおよびスクリプトの実行
• 以下の情報を窃取します。
  • プロセスの一覧
  • ドライブの一覧
  • ディレクトリおよびファイルの一覧
  • システム情報
  • スタートアップアイテム
  • ウイルス対策製品の情報
  • ローカルに保存された認証情報