この正規のVPNサービスは、中国のグレートファイアウォールを回避できることから絶大な人気を誇っています。しかし攻撃者は、その知名度を悪用して隠されたマルウェアを展開しています。
この偽のインストーラーは、暗号化された危険なリモートアクセス型トロイの木馬(RAT)を投下し、攻撃者に被害者のコンピューターと個人データへの完全な制御権を与えます。
この悪意あるインストーラーには、3つの異なる埋め込みファイルが含まれています。不審に思われないよう、まず署名済みの正規版LetsVPNソフトウェアをインストールします。
ユーザーが正常なインストールだと思い込んでいる間に、バックグラウンドでは2つ目のファイルがシェルコードローダーとして動作します。このローダーはメモリを確保し、3つ目のファイル(主要なペイロード)を復号します。
最終段階のマルウェアをリフレクティブ手法でメモリ上に直接読み込むことで、攻撃者は最も危険なコードがハードディスクに書き込まれることを回避しています。
起動後、このRATはコマンド&コントロール(C2)サーバーに接続し、リアルタイムで指示を受け取ります。マルウェアは、あらかじめ組み込まれた40個の候補からなるテーブルの中から接続先サーバーを選択します。
興味深いことに、悪意あるドメインのいくつかには「nishihaoren」というフレーズが含まれており、これは簡体字中国語で「あなたは良い人です」という意味になります。接続後、マルウェアはリモートコマンドを静かに待ち受ける永続的なセッションを確立します。
このRATは、監視とデータ窃取のための膨大なツールキットを攻撃者に提供します。高機能なファイルマネージャーにより、攻撃者はディレクトリの作成、ペイロードのアップロード、機密データの窃取が可能になります。
隠れたキーロガーは10ミリ秒間隔でキー入力を記録し、クリップボードからコピーされたテキストも盗み出します。
完全な隠密性を保つため、このマルウェアは被害者のマシン上のアプリケーションを積極的に改変します。Telegramの実行ファイルにパッチを当て、プロキシ設定が変更されたことを隠すため、ユーザーには警告が表示されません。
また、このマルウェアは隠しオーバーレイウィンドウを使用し、ユーザーの物理的なキーボードとマウス入力をブロックします。これにより攻撃者は、被害者を締め出したまま画面を完全に制御し、デスクトップをリモートで操作できるようになります。
ThreatLockerの調査によると、このRATはセキュリティソフトウェアを回避し、永続的な足場を維持するために高度な手法を使用しています。バックグラウンドでクエリを実行し、25種類のアンチウイルス製品およびエンドポイント検知製品の有無を確認します。
ほとんどのアンチウイルスツールに対しては単に監視するだけですが、Microsoft Defenderに対しては積極的に攻撃を仕掛けます。PowerShellを使用して自身のディレクトリを除外対象に設定し、重要な脅威報告機能を無効化します。
注: IPアドレスおよびドメインは、誤って解決やハイパーリンク化されることを防ぐため、意図的に無害化表記(例: [.])されています。再有効化は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/fake-vpn-drops-rat/