アンダーグラウンドの掲示板に、Windows PCを狙う攻撃者のための新しい万能ハッキングツールが出回っている。
このソフトウェアは「L0rdix」と呼ばれている。enSiloのサイバーセキュリティ研究者によれば、L0rdixは「Windowsベースのマシンへの感染を目的としたもので、情報の窃盗と仮想通貨マイニングを組み合わせて使用でき、マルウェア分析ツールを回避する能力を持っている」という。
enSiloの研究者Ben Hunter氏は、米国時間11月20日に投稿されたブログ記事で、このツールは比較的新しく、金銭で購入可能だと述べている。このマルウェアにはすでにさまざまな機能が多数盛り込まれているが、今でも開発が続けられていることをうかがわせる点があるという。
L0rdixは.NETで書かれており、ステルス性を重視して開発されている。プログラムは一般によく利用されている難読化ツールである「ConfuserEx」を使って難読化されているが、一部のサンプルには、より高度な難読化ツールである「.NETGuard」が使用されている。
L0rdixの開発者は、マルウェア研究者がリバースエンジニアリングやマルウェアの分析に使用している仮想環境やサンドボックスへの対応にかなりの力を入れているようだ。
このマルウェアは、それらの環境を検知するためによく使われるスキャン手段を数多く使用しているだけでなく、WMIクエリやレジストリキーを使用して、サンドボックス製品が使われていることを示す文字列を探すなどの独自の工夫も行っている。
「L0rdixは、一部のサンドボックス製品が使用しているsbiedll.dllをロードしているプロセスを調べるなど、あまり一般的ではないチェック手法を使用し、単純な無料の仮想環境ツール内で実行されることを回避する可能性を高めようとしている」とHunter氏は付け加えている。
L0rdixは販売することを念頭に作られており、5つのコアモジュールが設定を自動アップデートできる機能を持っているほか、将来簡単にモジュールを導入できる構造になっている。
L0rdixがマシンに感染すると、まずOSのバージョン、デバイスID、CPUのモデル、インストールされているアンチウイルス製品、現在のユーザーの特権などの情報を収集する。その後、この情報が暗号化され、マシンのスクリーンショットと共に指令サーバに送信される。