ESET/マルウェア情報局

ESET、トロイの木馬化したTorブラウザーを発見

• 
• シェア
• ツイートする
  一覧
• 

　正規のTorブラウザーパッケージをトロイの木馬化して使用する今回の事例では、裏にいるサイバー犯罪者は大成功を収めています。ここまでのところ、攻撃者のpastebin.comのアカウントは50万回以上も閲覧されており、4万米ドル相当を超えるビットコインを盗むことに成功しています。

悪意のあるドメイン

　Attorのスパイ活動の対象は非常に限定されています。Attorの活動は、少なくとも2013年までさかのぼることができましたが、特定できた被害者は僅か数十人でしたが、マルウェア内のアーチファクトを分析することで、標的になった攻撃対象について詳細を把握できました。

　たとえば、標的ユーザーの行動をレポートできるようにするため、Attorは実行されているプロセスを監視して、選択したアプリケーションのスクリーンショットを取得します。特定のアプリケーション（プロセス名またはウィンドウタイトルに特定の部分文字列が含まれるアプリケーション）のみが対象となります。

　一般的なウェブブラウザー、インスタントメッセージングアプリケーション、電子メールサービスなどの標準的なサービスに加えて、対象となったアプリケーションのリストには、ロシア語のいくつかのサービスが含まれています。表1に詳細を示します。

　今回新しく発見されたトロイの木馬化したTorブラウザーは、ロシア語バージョンの正規のTorブラウザーを提供するという2つのウェブサイトを利用して配布されていました。第一のブラウザーは、ユーザーがウェブサイトにアクセスすると、バージョンの古いTorブラウザーを使っている、というメッセージをロシア語で表示します。そのメッセージは、たとえユーザーが最新バージョンのTorブラウザーを使用していても表示されます。

図1：torproect[.]orgで表示される、古いブラウザーを警告する偽のメッセージ

メッセージの和訳：
あなたの匿名性が危険にさらされています！
警告：お使いのTorブラウザーは古いバージョンです。
「アップデート」ボタンをクリックしてください。

　「Torブラウザーをアップデートする」ボタンを押すと、ユーザーは次のウェブサイトにリダイレクトされ、Windowsインストーラーがダウンロードされます。Linuxや、macOS、モバイル版を配布した形跡は確認されていません。

図2：ダウンロードのオプションがある偽のTorブラウザーウェブサイト

　この2つのドメイン（tor-browser[.]orgとtorproect[.]org）はどちらも2014年に作られています。悪意あるドメインであるtorproect[.]orgは、本物のドメインであるtorproject.orgに酷似しており、1文字欠けているだけです。しかしロシア語を使用するユーザーにしてみると、「torproect」というのは、キリル文字の発音をローマ字に音訳したように見える書き方のため、その1文字が欠けていることに疑問を持たない可能性もあります。しかしこれら2つのウェブサイトをいくつかのリソースを使って宣伝していたところを見ると、犯人は、被害者がタイプミスをすることに頼っていたという訳でもないようです。

配布方法

　2017年と2018年の初頭に、サイバー犯罪者たちはロシア語のいくつかのフォーラム上にスパムメッセージを投稿し、トロイの木馬化したTorブラウザーに繋がるウェブページを宣伝していました。このメッセージには、ダークネットマーケット、暗号通貨、インターネットプライバシー、検閲回避など、さまざまなトピックが含まれています。特にいくつかは、ロシア政府がメディアや通信を検閲するための機関であるRoskomnadzorに言及しています。

図3：tor-browser[.]orgを宣伝するスパムメッセージの例

図4：torproect[.]orgを宣伝するスパムメッセージの例

　2018年の3月、4月には、このサイバー犯罪者はpastebin.comというウェブサービスを使って、偽のTorブラウザーウェブページに関する2つのドメインを宣伝するようになりました。具体的には、4つのアカウントを作り、ドラッグ、暗号通貨、検閲回避、ロシアの政治家の名前など、検索エンジンが上位に検索結果を表示するように最適化されたトピックを含む、多くのペースト文字列を作っていました。

　このアイデアは、ユーザーが特定のキーワードでオンライン検索する際に、このペースト文字列を閲覧することを狙っています。そしてこのようなペースト文字列には、どれも偽のウェブサイトを宣伝するためのヘッダーが設定されています。

図5：偽のTorブラウザーウェブサイトを宣伝するペースト文字列のヘッダー

メッセージの和訳：
さあ、警察に見つからないように、Torブラウザーをダウンロードしよう。
通常のブラウザーでは、プロキシやVPNのプラグインを使ったとしても何を見ているのかバレてしまう。
Torはすべてのトラフィックを暗号化し、世界中にあるランダムなサーバーを通してそれを送受信する。
VPNやプロキシよりも信頼性が高く、Roskomnadzorの検閲はもれなく回避できる。
正規のTorブラウザーウェブサイトはこちら：
torproect[.]org
アンチキャプチャ機能を搭載したTorブラウザーはこちら：
tor-browser[.]org
リンクを保存する

　このサイバー犯人はこのバージョンのTorブラウザーがアンチキャプチャ機能を実装していると言いますが、それは事実ではありません。

図6：Torブラウザーに関連したキーワードが並ぶペースト文字列の例

　4つのそれぞれ異なるアカウントのペースト文字列は、50万回以上閲覧されています。しかし、そのうちどれくらいの閲覧者が実際にウェブサイトにアクセスし、トロイの木馬化したTorブラウザーをダウンロードしたのかはわかりません。

分析

　このトロイの木馬化したTorブラウザーは、アプリケーションとして完全に機能します。事実これは、2018年1月にリリースされたTorブラウザー7.5をベースにして作られています。というわけで、特に技術的に精通していないユーザーにとっては、オリジナルのバージョンとトロイの木馬化したバージョンの違いにはおそらく気がつかないでしょう。

　Torブラウザーのソースコード自体には変更は加えられておらず、Windowsバイナリのすべてがオリジナルバージョンと完全に同じです。しかし、このサイバー犯罪者は、デフォルトブラウザーの設定と拡張機能のいくつかに変更を加えています。

図7：トロイの木馬化されたTorブラウザーのextension-overrides.jsで変更された設定

　このサイバー犯罪者はまず、トロイの木馬化したTorのバージョンを最新バージョンにアップデートされたくありません。これにより、トロイの木馬化されていない、正規のバージョンにアップデートされてしまう可能性があるためです。そのためすべてのアップデート機能はオフに設定されており、アップデートツールもupdater.exeから、updater.exe0に名前が変更されています。

　アップデート設定の変更に加えて、犯人はデフォルトのユーザーエージェントを、一意のハードコード化された値に変えています。

Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0

　トロイの木馬化されたTorブラウザーのユーザーは、それと同じユーザーエージェントを使用します。このユーザーエージェントはフィンガープリントとして使用でき、ユーザーがこのトロイの木馬化したバージョンを使用しているかどうか、サイバー犯罪者がサーバー側で識別することができます。

　もっとも重要な変更はxpinstall.signatures.required設定に加えられたもので、インストールされたTorブラウザーアドオンの電子署名に関する確認を、オフにします。これにより、この攻撃者はどのようなアドオンでも追加でき、電子署名の確認ができないことに関する警告が表示されることなく、ブラウザーによってロードされます。

　さらにサイバー犯罪者は、HTTPS Everywhereという、ブラウザーに含まれるアドオン、特にその中のmanifest.jsonファイルを変更しています。どのようなウェブページをロードする時にも実行されるコンテンツスクリプト（script.js）が追加されています。

図8：オリジナルのmanifest.json（左）と変更されたもの（右）の違い

　この挿入されたスクリプトは、C＆Cサーバーに現在のウェブページアドレスを通知し、JavaScriptペイロードをダウンロードし、閲覧中のページで実行します。C＆Cサーバーはonionのドメインに存在するので、Torを通してのみアクセスすることができます。

図9：すべてのページで実行される、挿入されたスクリプト

　この一連の攻撃を実施しているサイバー犯罪者は、ユーザーが現在アクセスしているウェブサイトを把握でき、異なるJavaScriptペイロードをそのウェブサイトに応じて送ることもできます。しかしこの処理は未だに実施されていませんでした。今回の調査では、どのページにアクセスしても使用されているJavaScriptペイロードは同じものでした。

　JavaScriptペイロードは標準的なwebinjectとして機能するので、ウェブサイトコンテンツと連動して特定のアクションを実行できます。たとえば、フォームグラビングやスクレイピングを実行したり、アクセスしたページ内で、コンテンツを隠したり挿入したり、偽のメッセージを表示したりすることができます。

　ですが特筆すべきは、ユーザーの匿名性を無効にすることは難しいということです。なぜなら、JavaScriptペイロードはTorブラウザーのみで動作し、本当のIPアドレスや、ユーザーのマシンの物理的な特徴の情報へのアクセスはできないからです。

ダークネットマーケット

　ESETが調査したJavaScriptペイロードは、ロシア語ユーザー向けの３大ダークマーケットを標的にしています。このペイロードは、これらのマーケットのページに存在するQIWI（ロシアで普及している決済サービス）やビットコインウォレットを改変しようとします。

図10：暗号通貨ウォレットを改変するJavaScriptペイロードの一部

　アカウントにビットコインペイメントを使って直接入金するために、ユーザーが自身のプロフィールページを開くと、トロイの木馬化されたTorブラウザーは、元のアドレスを、サイバー犯罪者によって管理されるアドレスに自動的に入れ替えます。

図11：改変されたビットコインアドレスとダークネットマーケットのプロフィールページ

　ESETの調査では、2017年からこの犯行で使われてきた3つのビットコインウォレットを特定しました。そのようなウォレットは相対的に見て、多くの少額の取引を行っています。つまり、これらのウォレットはたしかにトロイの木馬化されたTorブラウザーによって使われていた可能性があるということです。

図12：サイバー犯罪者のウォレットが行なった取引の数と受け取ったビットコイン

　この記事の執筆時点で3つのウォレットが受け取った資金の合計は4.8ビットコインで、4万米ドル以上に相当します。トロイの木馬化したTorブラウザーは、QIWIウォレットも改変していたため、実際に盗難された金額の合計はこれよりも多くなっています。

結論

　このトロイの木馬化されたTorブラウザーは特殊な形のマルウェアで、電子通貨をダークネットマーケットの訪問者から盗むように設計されています。犯人はTorブラウザーのバイナリコンポーネントを改変するのではなく、設定や拡張機能のHTTPS Everywhereに変更を加えていました。これにより、電子通貨を気づかれることなく何年にも渡って盗み続けていたのです。

IoC（セキュリティ侵害の痕跡情報）

ESETの検出名
JS/Agent.OBW
JS/Agent.OBX

SHA-1
33E50586481D2CC9A5C7FB1AC6842E3282A99E08

ドメイン
torproect[.]org
tor-browser[.]org
onion4fh3ko2ncex[.]onion

Pastebinアカウント
https://pastebin[.]com/u/antizapret
https://pastebin[.]com/u/roscomnadzor
https://pastebin[.]com/u/tor-browser-download
https://pastebin[.]com/u/alex-navalnii

ビットコインアドレス
3338V5E5DUetyfhTyCRPZLB5eASVdkEqQQ
3CEtinamJCciqSEgSLNoPpywWjviihYqrw
1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS

MITREのATT＆CK手法

Torを悪用した詐欺：ダークネットの買い物客、トロイの木馬化したTorブラウザーでビットコインを盗まれる
https://www.eset.com/jp/blog/welivesecurity/fleecing-onion-trojanized-tor-browser/#utm_source=malware_info&utm_medium=referral&utm_campaign=trojanized-tor-browser

この記事の編集者は以下の記事もオススメしています

• デジタル

  スマホアプリがリクエストしてくるアクセス許可に要注意

• デジタル

  セキュリティ危機が9月に続き増加 10月のセキュリティ情報まとめ

• デジタル

  ランサムウェアとマルウェアの違いとは