この 5 段階のマルウェアチェーンは、信頼できる Windows ツール内に隠れています

サイバーセキュリティ研究者らは、Googleの広告インフラストラクチャを利用して悪意のある活動を隠すマルウェアキャンペーンについて警告している。

ハントレスの調査によると、この行為は、慎重に階層化された感染チェーンにユーザーを誘導するように設計された HTML ファイルを運ぶ悪意のあるスパムメールから始まることがわかりました。

このキャンペーンは、リダイレクトプロセスが最初に、セキュリティシステムによって広く信頼されている Google が所有する正規の広告および追跡ドメインである ad.doubleclick.net を経由したため、注目を集めました。

マルウェアチェーンは信頼できるインフラストラクチャの背後に隠れます

多くの電子メールゲートウェイや Web フィルタリングシステムでは、Google 広告ドメインが不審なターゲットや悪意のあるターゲットとして扱われることはほとんどないため、このルーティング方法は重要です。

添付ファイル自体には、被害者を攻撃者が制御する別のインフラストラクチャに転送するための隠された参照以外の重要な内容はほとんど含まれていませんでした。

ユーザーがページを操作すると、実行中に受信者の電子メールアドレスから自動的に取得されたデータを使用してアクション自体が動的に再構築されます。

ユーザーが添付されたアーカイブをダウンロードすると、感染チェーンはソーシャルエンジニアリング手法から Windows 内の隠れたマルウェアの実行へと急速に移行します。

ダウンロードされたファイルは、JScript、PowerShell、リフレクティブ .NET ローディング、および検出を減らすように設計されたメモリ内実行メソッドに依存しています。

このマルウェアは、アクティブメモリ内で直接いくつかの手順を実行することで、従来のファイルが残されることを回避します。

このキャンペーンは、オンラインソースから会社のロゴを自動的に取得してカスタムブランドを作成するという特別な取り組みを行っているため、信頼性が高くなります。

また、位置情報と現地時間情報も収集し、偽ページが受信者にとってより信頼できるものであるように見せるのに役立ちます。

Huntress 氏は、HTML 参照、JScript ローダー、PowerShell スクリプト、.NET コンポーネント、およびその後の追加のペイロード展開アクティビティを含む 5 つのステップのシーケンスを特定しました。

マルウェアは、実行シーケンスを続行する前に、デバッグ環境、サンドボックスシステム、フォレンジック分析ツールをチェックします。

これらのツールを検出すると、活動を直ちに停止し、場合によっては感染したシステムを強制的に再起動します。追加の警告メッセージはありません。

さらに、このマルウェアは、AMSI および ETW テレメトリシステムに直接影響を与えるネイティブ API レベルの変更を通じて Windows セキュリティ監視を妨害します。

その後、Microsoft によって署名された正規のユーティリティ (InstallUtil.exe や MSBuild.exe など) に悪意のあるコードを挿入することで隠蔽しようとします。

この手法を使用すると、Global Enterprise Security が正当であると認識する、信頼できる Windows プロセス内で悪意のある動作を混入させる操作が可能になります。

また、動的 DNS サービスと非標準のネットワークポートに依存する通信インフラストラクチャもあり、他の場所で防御策が講じられた後でもすぐに変更される可能性があります。

このマルウェアは、感染したシステムからプロセッサ ID、ウイルス対策製品、マザーボード情報、Nvidia と AMD が製造したグラフィックスハードウェアなどのハードウェア情報も収集しました。

システムの再起動またはシャットダウンイベント後に永続化メカニズムが悪意のあるプロセスを繰り返し起動するため、操作全体が長期にわたる不正アクセスに向けて構造化されているように見えます。

残念ながら、ハンターたちは最終的な作戦目標を明確に特定することはできなかった。しかし、この構造は大規模な遠隔侵入活動への備えを提供します。

「クリックして TechRadar をフォローしてください」というテキストの横にある黒の背景にある Google ロゴ

Google ニュースで TechRadar をフォローしてください そして お気に入りのソースとして追加してください 専門ニュース、レビュー、意見をフィードで入手するため。