偽のビットコインツールに潜むDarkComet RATマルウェアの脅威
新たに発見されたマルウェアキャンペーンは、サイバー犯罪者にとって最も効果的な誘引の一つである仮想通貨を悪用し、DarkComet RATを配布しています。この悪名高いリモートアクセス型トロイの木馬は、作成者によって開発が中止されてから数年が経過しているにもかかわらず、依然としてユーザーを悩ませ続けています。
セキュリティ研究者たちは、ビットコインウォレットアプリケーションを装った不審な実行ファイルを特定しました。このファイルが実行されると、DarkCometの監視および制御機能が密かに展開されます。
仮想通貨ブームは、攻撃者にとって肥沃な狩場を生み出しました。ビットコインウォレット、マイニングソフトウェア、取引ツールは、検証されていないソースからツールをダウンロードすることに抵抗がない、熱心なユーザー層にアピールするため、悪意のある目的で再利用される主要な標的となっています。今回のキャンペーンは、その弱点につけ込み、「94k BTC wallet.exe」と名付けられたRARアーカイブ内にDarkComet RATの亜種をパッケージ化し、欺瞞的な仮想通貨関連のブランディングを施しています。
巧妙な配布手口
攻撃は、悪意のある実行ファイルを含む圧縮されたRARファイル(MD5: dbedd5e7481b84fc5fa82d21aa20106f)から始まります。この多層的な配信アプローチには複数の目的があります。直接実行ファイルを添付するメールフィルターを回避し、アンチウイルス検出率を低下させ、被害者に手動でペイロードを抽出させることで、攻撃者のソーシャルエンジニアリング戦術に利用されます。
UPXパッキングによる難読化
解凍されると、実行ファイルはUPXパッキングされたマルウェアであることが判明します。これは、バイナリの適切な構造と機能を隠蔽する圧縮技術です。パッキングされたサンプル(318 KB)は、725 KBの難読化されていないコードに解凍され、43.86%の圧縮率を示します。UPXパッキングを適用することで、マルウェア作成者は以下の3つの重要な目的を達成します。
- 静的シグネチャベースの検出を回避する
- APIインポートとコードロジックをリバースエンジニアリングツールから隠蔽する
- ペイロードサイズを削減し、効率的な配布を可能にする
CFF Explorerを使用した分析では、UPX圧縮の兆候であるUPX0およびUPX1セクションが、.textや.dataのような標準的なPEセクションに置き換わっていることが明らかになりました。仮想通貨愛好家は、ウォレットツールや取引ユーティリティをダウンロードする際に極度の注意を払い、公式ソースのみに依存し、実行前に暗号署名を検証する必要があります。
マルウェアの機能と悪意ある挙動
UPXユーティリティによる解凍が成功した後、バイナリの真の性質が明らかになりました。それは、Borland Delphi (2006) でコンパイルされた完全に機能するDarkComet RATでした。
実行されると、マルウェアは自身を「explorer.exe」として%AppData%\Roaming\MSDCSC\にコピーし、HKCU\Software\Microsoft\Windows\CurrentVersion\Runに自動起動レジストリキーを作成することで永続性を確立します。これにより、マルウェアはシステム再起動後も存続し、継続的なアクセスを維持します。設定分析により、ハードコードされたコマンド&コントロール(C2)インフラストラクチャが、DarkCometのデフォルトC2チャネルであるポート1604上のkvejo991.ddns.netを指していることが判明しました。マルウェアは、単一のインスタンスのみが実行されることを保証するために、ミューテックス「DC_MUTEX-ARULYYD」を使用し、実行中の競合を防ぎます。
RATの機能セットには、キーロギングが含まれており、捕捉された資格情報や機密情報は「dclogs」フォルダに保存された後、C2サーバーに送られます。プロセスインジェクション分析では、マルウェアがデコイプロセス(cmd.exe、conhost.exe、notepad.exe)を生成し、正当なWindowsプロセス内に悪意のあるペイロードを隠蔽していることが示されました。これは、DarkCometの亜種が採用する一般的な回避戦術です。
対策と推奨事項
この発見は、サイバーセキュリティにおける重要な現実を浮き彫りにしています。古いマルウェアは決して完全に消滅することはありません。一度公開されたDarkCometのようなファミリーは、異なる脅威アクターによって無限に再利用されます。
組織は、アプリケーションのホワイトリストポリシーを強制し、特に仮想通貨機能を謳う未検証のソフトウェアをダウンロードすることの危険性についてユーザーを教育する必要があります。
侵害の痕跡 (IOCs)
- アーカイブファイル (SHA256): 11bf1088d66bc3a63d16cc9334a05f214a25a47f39713400279e0823c97eb377
- ペイロードEXE (SHA256): 5b5c276ea74e1086e4835221da50865f872fe20cfc5ea9aa6a909a0b0b9a0554
- 解凍済みEXE (SHA256): 58c284e7bbeacb5e1f91596660d33d0407d138ae0be545f59027f8787da75eda
- インストールパス: C:\Users\<User>\AppData\Roaming\MSDCSC\explorer.exe
- レジストリキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\explorer → C:\Users\admin\AppData\Roaming\MSDCSC\explorer.exe
- ミューテックス: DC_MUTEX-ARULYYD
- C2ドメイン: kvejo991.ddns.net
- C2ポート: 1604 (TCP)
- キーロギングログファイル: 2025-10-29-4.dc