GPUGateは攻撃手法につけられた名前です。
このGPUGateを使ったマルウェアの拡散が確認されています。
どのように攻撃が行われるのでしょうか。
- 始まりはマルバタイジング
攻撃行為は汚染された広告の設置から始まります。
攻撃者はGoogle広告を作成し、実際のGoogle検索結果の最上部、つまりユーザの目にとまりやすい「スポンサー」のある広告の位置に表示されるようにします。
今回の場合はWebページのタイトルは「GitHub Desktop」でした。
GitHub DesktopをGoogleで検索すると上位に表示され、ページのタイトルとしても、ページのアイコンとしても見た目ではGitにしか見えない状態で表示されます。 - 表示されるサイトはGitHub
広告のリンクをクリックするとGitHubのページが表示されます。
これはまだ本家のサイトです。
そして表示されているのはGitHub上に設置された内容となっているのですが、クリックさせたいリンクはgitの文字列を含む無関係のURLとなっています。
ページ全体としては警告が表示されているのですが、このページに誘導する際にWebページの下のほうに設定されたアンカーに対してリンクされていた関係でせっかく表示されている警告がページ上部にあることから警告は閲覧画面には表示されない状態で表示されます。
警告回避の成功です。 - ダウンロードする
ページにはmacOSやWindowsといった環境毎のダウンロードのリンクが表示されます。
これをクリックすると攻撃者の用意したサイトからファイルをダウンロードすることになります。
このダウンロードされるファイルは攻撃者の用意したバイナリです。 - インストールする
ダウンロードページでWindows向けと表示されているリンクをクリックした場合、ダウンロードされるのは「GitHubDesktopSetup-x64.exe」です。
これはマルウェアを仕込む機構を持ったファイルとなっています。
ファイルサイズは約127MBと大きさがあるため、アンチウイルスソフトでは自動スキャンの確認対象外となります。
このファイルはMSI形式のインストーラーとなっているのですが、その管理下にある多くのファイルのほとんどは無害なファイルです。
そのなかに1つだけ悪意を持って作成されたDLLが混ぜ込まれています。
解析者が解析するのは大変です。 - 感染準備する
悪意あるファイルの動作が開始されるのですが、すぐには開始されません。
環境のチェックから開始します。
ここで利用される手法の一つがGPUGateです。
適切なGPUドライバーが搭載されているかを確認します。
物理的なGPU処理ができるデバイスがない、GPUデバイス名が10文字未満である、といった場合、マルウェアの設置は開始されません。
エミュレートされたGPUは実際の物理GPUの場合に比べてGPUデバイス名が短いということを前提とした解析回避機構です。
これらの解析回避機構の条件を潜り抜けた場合だけ、マルウェアローダーの復号化が実施されます。 - 復号化
マルウェアローダーの復号化には、GPUが利用されます。
復号化されたマルウェアローダーは、永続化し、特権昇格し、Windows Defenderに検出回避のための例外設定を実施します。
そのうえで、追加のペイロードを取得し、マルウェアを設置します。
実に巧妙な流れでの感染活動となっています。
解析環境ではなかなか解析を実施させてもらえません。
このマルウェアは物理的にGPUを搭載した人をターゲットにしています。
このようなPCを使っている人は、開発関係者、ゲームを実行する環境、暗号通貨のマイニングを実施できる環境、など、ある一定の属性を持っていることが予想できます。
このように具体的なターゲットを狙う脅威は今後も増えてくることでしょう。
GPUGate Malware: Malicious GitHub Desktop Implants Use Hardware-Specific Decryption, Abuse Google Ads to Target Western Europe
https://arcticwolf.com/resources/blog/gpugate-malware-malicious-github-desktop-implants-use-hardware-specific-decryption-abuse-google-ads-target-western-europe/
| この記事をシェア |
|
|---|
