サイバー犯罪者が、インド所得税局を装った不正な通知から始まる巧妙なマルウェアキャンペーンで、インドの納税者を積極的に標的にしていることが分かりました。
被害者は、法令違反があったとする緊急のコンプライアンス通知を受け取り、本物そっくりに作られた偽サイトへ誘導されます。
この通知は、重い罰金や法的措置を回避するために書類を至急提出するよう要求してきます。これらのページを進んでいくと、ユーザーは偽の「Microsoft Edge Secure Gateway」ポータルへと転送されます。
このページは証明書検証を含む模擬のセキュリティチェックを表示しますが、これは悪意あるダウンロードを開始する前に信頼感を演出することだけを目的としたものです。
Howler Cell Threat Research Teamは、Cyber Security News(CSN)と共有したレポートの中で、この巧妙な攻撃チェーンは信頼された正規ソフトウェアやファイル形式を悪用することで標準的なエンドポイント防御を回避していると述べています。
被害者は公式の税務ユーティリティを装ったZIPアーカイブをダウンロードするよう仕向けられ、これによって6段階にも及ぶ深刻な感染プロセスが始動します。
ダウンロードされたアーカイブには、正規のデジタル署名付き実行ファイルとともに、nvdaHelperRemote.dllという名前の悪意あるダイナミックリンクライブラリが含まれています。
被害者がこの実行ファイルを起動すると、DLLサーチオーダーハイジャッキングの被害に遭い、気づかないうちに正規のWindows依存ライブラリの代わりに攻撃者のライブラリが読み込まれてしまいます。
この初期侵入は、メモリ上で直接シェルコードをデコードし、ユーザーアカウント制御(UAC)プロンプトを利用した権限昇格チェックを引き起こすことで、プロセスが管理者権限で確実に実行されるようにします。
このマルウェアは、名前付きのグローバルイベントを使って単一インスタンスのみが実行されるよう制御し、多重実行を防いでいます。
権限昇格に成功すると、マルウェアは偽装されたWindows Media Playerフォルダから「Windows Mixed Reality Service」という巧妙な名前の不正なサービスをインストールし、永続化を確立します。
このダウンローダーは続いて攻撃者のインフラにアクセスし、一般的な背景画像を装ったポリグロットファイルを取得します。
ダウンロードされたこの画像は通常のWebブラウザ上では問題なく表示されるため、何気なく見ただけでは異常に気づきにくいものの、内部の固定オフセットに複数の暗号化されたペイロードを隠し持っています。
マルウェアは最初の隠しペイロードを抽出し、さらなるサイドローディングの準備を行います。この時点から、攻撃チェーンは完全にメモリ上での動作へと移行します。
後続のローダーはリフレクティブメモリマッピングを使用し、追加の実行ファイルをハードドライブに書き込むことなく直接コードを実行するため、静的検知の仕組みを意図的に無力化します。
このペイロードは自身のプログラミングインターフェースを動的に解決することで、その機能を隠蔽します。リモートプロセスインジェクションに必要な関数を特定するために、XORでデコードされた文字列を使用します。
cyderes社によると、その後、先にダウンロードしたポリグロット画像から追加のペイロードコンポーネントを切り出し、最終段階の準備を整えるということです。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(defang、例: [.])としています。再度有効な表記に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤上でのみ行ってください。
翻訳元: https://cyberpress.org/signed-binary-delivers-rats/