サイバー犯罪者はデジタルクリエイターやテクノロジー愛好家の信頼を積極的に悪用し、侵害されたYouTubeチャンネルを利用してDinDoorバックドアとして知られる潜伏型マルウェアを配布しています。
悪意あるペイロードを人気AIツールや ソフトウェアプラグイン(ChatGPT、Claude、AutoTune、Kontaktなど)に偽装し、攻撃者はGitHubやSourceForgeといった正規の開発者プラットフォームを武器化した配布拠点に変えています。
この高度なキャンペーンは、脅威アクターがDenoやBunといった代替JavaScriptランタイムを悪用して従来のセキュリティ検出手法を回避するという、増大するトレンドを浮き彫りにしています。
数万回の視聴数を誇るAI生成のプロモーション動画に誘われた被害者は、無害に見えるターミナルコマンドを実行させたり、不正なMSIファイルをダウンロードさせたりする偽リポジトリに誘導されます。
感染の流れは通常、MSIインストーラーをダウンロードする悪意あるコマンドから始まり、そのインストーラーがCMDおよびPowerShellの スクリプトを被害者のデバイスに投下します。
これらのスクリプトは、ScoopやWinGetなどの正規のWindowsパッケージマネージャーを巧みに利用して、DenoのJavaScriptランタイムをサイレントインストールします。
Denoが起動すると、侵害されたシステムは小さな評価ループを実行し、コマンド&コントロール(C2)サーバーからDinDoorバックドアを取得します。
一度確立されると、DinDoorはさらなる感染の入口として機能し、特に高機能なリモートアクセス型トロイの木馬(RAT)を配布します。
Deno環境内で完全に動作するこのRATは、侵害されたマシンに対して攻撃者に完全な双方向制御を与え、広範なデータ窃取を目的として設計されています。
このマルウェアは特に50以上の暗号通貨ウォレット拡張機能を標的にし、主要なウェブブラウザおよびTelegramやDiscordのようなメッセージングアプリケーションから機密データを抽出します。
WebSocket経由でSOCKS5プロキシトンネルを確立し、秘匿性の高いC2通信を実現します。システムのスクリーンショットを取得し、クリップボードデータを記録し、任意のPowerShellペイロードを実行します。
Chrome DevTools Protocolを介してハイジャックした隠しMicrosoft Edgeプロセスを生成し、ピアツーピアのライブストリーミングを可能にします。
暗号化されたWebRTC DataChannelを使用して悪意あるトラフィックを隠蔽しながら、H.264エンコードされたライブ画面キャプチャをオペレーターに直接転送します。
Malwarebytesの調査によると、ユーザーは厳格なデジタルセキュリティ習慣を実践する必要があります。セキュリティの専門家は、ソフトウェアを公式ベンダーのウェブサイトからのみダウンロードし、非公式・クラック版・コミュニティ配布のインストーラーを避けることを推奨しています。
さらに、ユーザーは常にデジタル署名を検証し、GitHubやSourceForge上の発行者プロファイルの作成日と評判を確認し、実行前にアーカイブの内容を詳しく調べるべきです。
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐために意図的にデファング処理(例:[.])されています。MISP、VirusTotal、またはお使いのSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ元に戻してください。
翻訳元: https://cyberpress.org/cybercriminals-weaponize-ai-installers/
