ハッカーがC++・C#プロジェクトファイルに感染し、多段階のWindowsバックドアを拡散

ソフトウェア開発プロジェクトを侵害し、多段階のバックドア、データ窃取機能、クリップボードハイジャッカー、暗号資産マイナー、ファイル感染機能を配布する巧妙なWindows型トロイの木馬が確認されました。

Doctor Webの研究者らが文書化したこのマルウェアは、2025年第4四半期に初めて観測されて以降も進化を続けており、現在ではC++およびC#の開発環境を標的にしています。

攻撃者はVisual Studioのプロジェクトファイルやアプリケーションのコンパイル時に使用されるコンポーネントに感染させることで、侵害された開発者のワークステーションをサプライチェーン内の配布拠点に変えています。

ハッカーがC++・C#プロジェクトファイルに感染

この攻撃キャンペーンは、トロイの木馬化された実行ファイル、あるいはPython.Downloader.255として追跡されている悪意あるPythonスクリプトから始まります。侵害された実行ファイルの中には、アプリケーション起動時に実行されるグローバルオブジェクトが攻撃者によって埋め込まれます。

Image

このマルウェアはProcess Environment Block(PEB)ウォーキングを使ってWindows APIを解決し、続いてCランタイムのinitterm初期化メカニズムを悪用して、隠されたPowerShellダウンローダーを実行します。

Doctor Webはこの第一段階のコンポーネントをTrojan.DownLoader49.35384として識別しています。その役割は、次の段階のローダーであるTrojan.DownLoader49.35687を取得・実行することです。

悪意あるPythonファイルも同様の機能を果たし、コードはFernetで暗号化され、大量の空白文字によって難読化されています。第2段階では、マルウェアはGlobal\PFNMXという名前のミューテックスを使い、過去に実行済みかどうか、あるいはサンドボックスのような環境かどうかを確認します。

マルウェアはコマンド&コントロール(C2)インフラの情報を、GitHubやSteamなど攻撃者が管理する公開サービス上のコンテンツから取得します。研究者らは、SteamアカウントにC2ドメインが平文で記載されているケースを発見したほか、GitHubにホストされた生ファイルには、Base64・XOR・ZwFlushKeyベースの処理で保護された暗号化サーバーアドレスが格納されていました。

続いてダウンローダーは、C:\Windows\System32ディレクトリ内にあらかじめ定められた41個の実行ファイルのいずれかに悪意あるコードを注入します。被害者の識別子とC2情報は、VccFrameworkchannelという名前付きパイプを通じて最終ペイロードに渡されます。

コンピューターサイエンス

第3段階であるBackDoor.Siggen2.5906は、Discordのprofapi.dll、Microsoft Edge関連のDLL、C:\Windows\omadmapi.dllを含む特定のDLLを差し替えることで永続化を確立します。

また、Windowsのレジストリ設定を乗っ取り、WinRARでアーカイブを開くと悪意あるコードが実行されるように仕向けることも可能です。権限昇格には、ms-settingsレジストリキーとComputerDefaults.exeを利用したユーザーアカウント制御(UAC)バイパスが使われます。

いったん有効化されると、このバックドアはDiscordのトークン、ブラウザに保存されたパスワードやCookie、Telegram Desktopのデータ、Exodus暗号資産ウォレットのファイルを窃取します。ブラウザのプロセスに注入して認証情報を取得したり、Exodusウォレットのアプリケーションファイルを改ざんしてリカバリーフレーズを傍受したりすることも可能です。

さらにこのマルウェアは、クレジットカード情報を狙って常時クリップボードを監視し、コピーされた暗号資産ウォレットアドレスを攻撃者側が用意した別のアドレスに置き換えます。

Image

遠隔操作機能としては、コマンド実行、ファイルのアップロード、ディレクトリの列挙、ペイロードのダウンロード、リバースプロキシの展開に加え、音声操作や偽の警告表示といった「嫌がらせ」的な機能も備えています。

これに加えて、この攻撃キャンペーンはXMRigなどのツール、T-Rex、TeamRedMinerといった一般に公開されているツールを用いて暗号資産マイナーを展開します。マイニングが開始されるのは、被害者のシステムが一定時間アイドル状態になった後のみです。

特に注目すべき点として、このトロイの木馬は悪意あるビルド前イベントを追加することで、.vcxprojおよび.csprojのプロジェクトファイルに感染します。さらに、Visual Studioの.suoファイル、imgui_impl_win32.cpp、Windows SDKのヘッダーファイルwinnetwk.h、実行ファイルも標的としています。

感染したプロジェクトをビルドしたり共有したりした開発者は、気づかないうちに他の開発者やエンドユーザーにマルウェアを拡散してしまう恐れがあります。

組織は、プロジェクトファイル内に不正なビルド前コマンドが存在しないか監査し、開発者のエンドポイントを監視し、SDKや依存関係の完全性を検証したうえで、ダウンロードしたコードはコンパイル前にスキャンすることが求められます。

翻訳元: https://gbhackers.com/c-c-project-files-windows-backdoor/

ソース: gbhackers.com