暗号資産盗難を目的とした大規模なCountLoaderマルウェアキャンペーン。脅威アクターは、難読化されたJavaScriptとPowerShellスクリプトを含む複雑なマルチステージ攻撃チェーンを使用して、セキュリティ防御を回避しています。
このキャンペーンの最終的な目的は、暗号資産クリッパーを展開することです。これは被害者のクリップボードをハイジャックし、コピーされたデジタルウォレットアドレスを攻撃者によってコントロールされたものに置き換えるマルウェアです。
感染は被害者が悪意のあるEXEファイルを実行したときに始まります。この初期ファイルはすぐにPowerShellコマンドを実行して、CountLoaderという難読化されたJavaScriptローダーをダウンロードします。このローダーは正当なWindowsユーティリティであるmshta.exeを経由して実行されます。
実行ウィンドウを非表示にすることで、マルウェアはユーザーに警告を与えないようにバックグラウンドで静かに実行されます。30~60分ごとに実行されるスケジュール済みタスクを作成することで、永続性を確立します。
CountLoaderは非常に高度なペイロード実行チェーンを備えています。攻撃者は独自の暗号化通信プロトコルを使用して、コマンドアンドコントロール(C2)サーバーと通信します。
マルウェアは複数のステージを進行し、後続のスクリプトを復号化するPowerShellパッカーと、Windows Antimalware Scan Interface(AMSI)を積極的に無効化するインジェクターを含みます。
オープンソースのバイパスツールを使用して、マルウェアはsysteminfo.exeなどの信頼できるプロセスにシェルコードを注入し、最終ペイロードをメモリ内で完全に実行します。
到達範囲を最大化するために、CountLoaderはUSBドライブを通じて積極的に拡散します。C2サーバーからの命令を受けると、マルウェアはリムーバブルメディア上の正当なPDFおよびWordファイルを悪意のあるショートカット(LNK)ファイルに置き換えます。
さらに、最終的なクリッパーペイロードはEtherHidingと呼ばれる技術を使用しています。これにより、マルウェアはEthereumブロックチェーンからC2サーバーアドレスを動的に取得できるため、セキュリティツールがインフラストラクチャをブロックすることがはるかに難しくなります。
シンクホールは1分あたり約5,000の接続を受け取り、世界中で約86,000台の一意のコンプロマイズされたマシンを露出しました。
テレメトリーデータは、インドが最も多くの感染を被り、インドネシアと米国が密接に続いたことを示しています。
翻訳元: https://cyberpress.org/hackers-deploy-crypto-clipper/
