Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 1 Discordを乗っ取るマルウェアの解析

2 Background Discordを乗っ取るマルウェアの解析

3 Info Discordを乗っ取るマルウェアの解析 ファイル名 Beholder3.exe SHA256 cf6194084a0b7eaa297585ad9981ffb7ca4a9b0227d28a806014d7a01735d61e • Windows Defender / VirusTotal で脅威として判定されなかった (2/14) • ファイル名の “Beholder3.exe” は3月3日にリリースされた “Beholder 3” という新作のインディーゲームを意識してつけられている？

4 Extract Discordを乗っ取るマルウェアの解析 • “strings” コマンドなどを実行すると、”nexe” というツールを使用して Node.jsアプリケーションをPEファイル化していることがわかる • また、難読化されたペイロード（JavaScript）も抽出することができた （https://gist.github.com/mopisec/9bf5472b54a0017ff74775b35f812bcb） $ strings Beholder3.exe.malware | grep “” function a0_0xc71027(_0xdc1ad2,_0x24f7bb,_0x5619a0,_0x4a3e17,_ …… # 以下略

ｇ 5 Decode Discordを乗っ取るマルウェアの解析 • “a0_0x550c” という関数が頻繁に呼び出されている • 文字列をデコードもしくは復号化する関数だと推測できる • ペイロード内の関数呼び出し箇所をデコード後の文字列に置換する スクリプトをNode.jsで実装した

ｇ 6 Deobfuscate Discordを乗っ取るマルウェアの解析 • 一般的な難読化手法も用いられていたので、それらはオンラインツール （deobfuscator.io など) を使用することで対処した

ｇ 7 Analyze Discordを乗っ取るマルウェアの解析 • Discord内部で使用されている “index.js” をインターネット上から取得した Maliciousなファイル（情報を窃取するもの）に置換していた • 窃取したDiscord内の情報を攻撃者が用意したWebhook宛てに送信する • 窃取する情報 • Discordの認証情報、支払い情報、フレンド情報など • 入手した情報を利用して、更に感染者を増やそうと試みる

ｇ 8 Inspect (1) Discordを乗っ取るマルウェアの解析

ｇ 9 Inspect (2) Discordを乗っ取るマルウェアの解析 • デバッグ用の処理などが追加されていたが、概ね PirateStealer2 という 別のDiscordを乗っ取るマルウェアと同じコードだった • PirateStealer2 のソースコードは誰でも入手できる • 同一作者の可能性もあるが、PirateStealer2の作者であるStanley氏はマ ルウェア開発にはもう関わりたくないと表明している • Twitter上でDiscordをメンションして「私に連絡したらDiscordを 安全なアプリにする方法を教える（意訳）」とアピールしていた

ｇ 10 Discordを乗っ取るマルウェアの解析

ｇ 11 Conclusion Discordを乗っ取るマルウェアの解析 • 知り合いから送られてきたものであっても、怪しいファイル（特に実行 ファイルやマクロ付き文書ファイルなど）は開かないようにしましょう • 攻撃者にとっての Discord というプラットフォームの存在 • 今後も同じような攻撃が発生するかもしれない • 他のプラットフォームが攻撃対象になる可能性も • 継続して情報収集に取り組んでいきたい

ｇ 12 Any Questions? Discordを乗っ取るマルウェアの解析 • コメント・質問などは感想戦 (17:10~) にて！ • Slack / Discord に書き込んでいただいてもOKです！ • 交友会はまだまだ続くので、盛り上げていきましょう！

Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 13 Discordを乗っ取るマルウェアの解析