「OnyxC2」と呼ばれる強力な新型クレデンシャルスティーラーが2026年初頭にサイバー犯罪フォーラムに登場しました。月額250ドルで脅威アクターに包括的な攻撃ツールキットを提供するとされています。
このマルウェアは、偽のWindowsアップデートパッケージやFinePrintのような正規ソフトウェアに見せかけたインストーラーなど、巧妙な偽装手口によって積極的に配布されています。
OnyxC2は完全サポート付きの商用製品として運営されており、購入者には自動ペイロードビルダー、段階的なライセンス体系、および感染エンドポイントを一元管理するWebダッシュボードが提供されます。
開発者は99%という検出回避率を積極的にアピールしており、実際に最近のサンドボックス解析では、初期配布アーカイブが主要なウイルス対策エンジンを完全にすり抜けたことが確認されています。
コアとなるスタブはC++で記述されており、システムコールを直接呼び出す設計です。新しいビルドが生成されるたびにコードが変化するため、シグネチャベースの検出ルールを無効化できます。
展開されると、このスティーラーは約210種類のアプリケーションから素早くデータを収集します。対象には45種類のWebブラウザをはじめ、各種パスワードマネージャー、仮想通貨ウォレット、FTPクライアントが含まれます。
OnyxC2のオペレーターは、被害者のマシンへの感染を成立させるため、DLLサイドローディングと呼ばれる効果的な実行フローハイジャック手法を採用しています。
初期ペイロードはパスワード保護されたアーカイブとして届き、その中には正規のデジタル署名付きアプリケーションと、高度に難読化された悪意あるDLLが同梱されています。
ホスト実行ファイルには信頼された既知のソフトウェアパブリッシャーによる有効なAuthenticode署名が付いているため、セキュリティ製品は多くの場合、その実行プロセスを本質的に信頼してしまいます。
被害者が偽のインストーラーを実行すると、その信頼された実行ファイルは同じローカルフォルダから攻撃者のDLLを自動的に読み込みます。
悪意ある開発者は、DLLのサイズを133メガバイト超にまで水増しし、正規のNVIDIAグラフィックスライブラリコードの末尾に暗号化されたデータを付加するという手口でペイロードを巧みに隠蔽しています。
異なるビルドを比較すると、ローダー環境は非常に安定しており、バリアント間でファイルが変化する割合はわずか約0.58%にとどまります。
悪意あるコードはディスク上では完全に暗号化されたまま保存されており、静的解析ツールによる読み取りを防ぐため、実行時にのみアクティブなペイロードをメモリ上に直接復号します。
OnyxC2は、Cloudflareでフロンティングされたコマンド&コントロール(C2)サーバーへ、あらかじめ設定された /backend/api/app.php エンドポイントを通じて安全な通信チャンネルを確立します。
Blackfogの調査によると、情報窃取の範囲は一般消費者の認証情報にとどまらず、経理チームが日常的に使用するFTPクライアントやメールクライアントを標的にすることで、企業環境を直接脅かしていることが明らかになっています。
セキュリティ研究者は、配布チェーンが複雑な回避戦術を駆使している一方で、オペレーターが利益を得るのは盗んだデータがホストから正常に外部へ送出された時点に限られると指摘しています。
エンドポイントにおけるデータ持ち出し防止(ADX)制御の適用が、現時点で最も有効な緩和策とされています。この対策は、マルウェアを最初に読み込んだ信頼済みプロセスの種類を問わず、不正な送信を遮断できます。
翻訳元: https://cyberpress.org/hackers-deliver-onyxc2-via-fake-updates/
