検索エンジンの結果を操作し、AIチャットボットとのやり取りを悪用してマルウェアを配布する、巧妙なクリプトジャッキングキャンペーンが確認されています。
攻撃者は人気のシステムユーティリティを偽装し、ユーザーを騙して改ざんされたパッケージをダウンロードさせる手口を積極的に展開しています。
Microsoftセキュリティの研究者は、この新たな配布手法がソーシャルエンジニアリングの範囲を従来の検索結果から拡大しており、悪意ある推薦の露出機会が増大していると指摘しています。
この攻撃キャンペーンの主な目的は、高性能GPUを搭載したシステムに感染して暗号資産のマイニング収益を最大化することです。また、悪用されたScreenConnectの展開を通じて持続的なリモートアクセスを確立し、データ窃取やランサムウェアといった後続攻撃への足がかりとすることも狙っています。
キャンペーンはまず、CrystalDiskInfo・HWMonitor・Display Driver Uninstallerといった信頼性の高いユーティリティを求めるハードウェア愛好家の検索行動から始まります。セキュリティアナリストの観察によると、大規模言語モデルツールにソフトウェアを問い合わせたユーザーが、生成された回答の中で攻撃者が管理するドメインへのリンクを提示されるケースも確認されています。
各偽サイトは、ダイナミックDNSのサブドメインでホストされたZIPアーカイブを提供しており、正規の実行ファイルと悪意あるダイナミックリンクライブラリがセットで含まれています。
被害者が実行ファイルを起動すると、DLLサイドローディングと呼ばれる手法によって悪意あるライブラリが密かに読み込まれます。
この初期ペイロードは次に、Visual C++再頒布可能パッケージに見せかけた二次ファイルをひそかにインストールします。その実態はScreenConnectリモート管理ツールのパッケージインストーラーです。
マルウェアは痕跡を残さないため、.NETフレームワークに同梱されている標準的なWindowsユーティリティの中からMicrosoft署名済みの正規バイナリを選び出し、そのプロセスを乗っ取る「プロセスホロウィング」を試みます。
悪意あるマイニングコードは信頼された正規バイナリのプロセス名で動作し、同時にPowerShellコマンドを呼び出してMicrosoft Defenderにパスおよびプロセスベースの除外設定を登録します。
また、仮想マシン上での実行やデバッグツールの併用を検知するための広範な解析回避チェックも実施します。
Microsoftの脅威インテリジェンスレポートによると、乗っ取られたプロセスはユーザーの操作状況とGPU使用率を常時監視し、ゲームプレイなど高負荷の正規利用を検知した場合はマイニング動作を一時停止して、疑いを持たれないよう巧みに偽装します。
コマンド&コントロール(C2)インフラには暗号化されたWebSocket接続とハードコードされた証明書ピン留めが使用されており、攻撃の最終段階を制御します。
ホスト偵察フェーズで送信される侵害されたハードウェアのプロファイルに応じて、gminerやlolMinerといった特化型GPUマイニングツールが動的にダウンロードされます。
感染チェーンは非常に強固な持続性維持メカニズムに依存しており、スケジュールタスク・レジストリキー・スタートアップフォルダを絶えず監視して、削除されたコンポーネントを再作成し続けます。
この常時バックグラウンド処理により、不正な暗号資産マイニング動作は感染システム上で継続的かつ安定して維持されます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。再有効化はMISP・VirusTotal・SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/fake-utilities-deploy-miners/
