ChrimeraWire と呼ばれる新たに確認されたトロイの木馬が、Google Chrome を通じて実際のユーザー行動をシミュレートすることで、検索エンジンのランキングを操作するために利用されています。このマルウェアは Doctor Web の研究者によって本日詳細が公開されました。同社はアフィリエイトリンク型のマルウェア配布キャンペーンを分析する過程でこれを発見しました。
ChrimeraWire は、パスワードを盗んだりファイルを暗号化したりする代わりに、特定のウェブサイトの Google や Bing の検索結果における可視性を高めることに特化しています。これを実現するために、検索の自動実行、ターゲットサイトの読み込み、クリック操作を、ダウンロードしてデバッグモードで実行する隠しインスタンスのChrome ブラウザを通じて行います。
マルウェアは直接侵入するわけではありません。多層的な感染プロセスの最終段階で投下されます。Doctor Web は、そのインストールに至る 2 つの別々の感染チェーンを説明しており、いずれもダウンローダ型トロイの木馬、権限昇格、システムへの永続化テクニックを含んでいます。
最初のチェーンでは、感染は仮想環境をチェックするダウンローダから始まります。システムが実機と判断されると、Python ベースのスクリプトと悪意ある DLL をダウンロードし、既知の Windows DLL サーチオーダー・ハイジャックを利用して権限を昇格させます。最終的に署名付きの OneDrive ユーティリティを使って別の悪意ある DLL を読み込み、そこから ChrimeraWire へとつながります。
2 つ目のチェーンでは、正規の Windows プロセスを装うダウンローダが使用され、独自のペイロードを実行するためにシステムライブラリをパッチします。古いCOM インターフェイスの脆弱性を悪用して管理者権限を取得し、その後、タスクスケジューラと DLL ハイジャックを利用して同じ最終ペイロードを起動します。
インストールされると、ChrimeraWire はサードパーティサイトから特定の Chrome ビルドをダウンロードします。CAPTCHA 保護を回避するためのブラウザ拡張機能を追加し、Chrome を非表示ウィンドウで起動し、WebSocket を介してコマンド&コントロールサーバーに接続します。マルウェアは暗号化された指示を受信し、何を検索するか、どのサイトを読み込むか、何回クリックをシミュレートするか、アクション間でどれだけ待機するかを定義します。
キャンペーン全体は、実際のブラウジングに見えるよう設計されています。ChrimeraWire は「確率的」なクリックパターン、ランダムな一時停止、リンク順序のシャッフルを用いて、ボット対策システムによる検知を回避します。Doctor Web によると、これにより、検索エンジンが本物のエンゲージメントと解釈しかねない形でトラフィックを水増しすることが可能になります。
ChrimeraWire は、ページコンテンツの読み取り、スクリーンショットの取得、さらには Web フォームの入力といった他のタスクもサポートしています。これらの機能はまだ完全には活用されていませんが、将来のバージョンで有効化される可能性があります。
現時点では、主な用途は特定のウェブサイトへの偽トラフィック誘導であり、怪しげなアフィリエイトマーケティングやSEO 操作の一環とみられます。マルウェアのインフラストラクチャからは、運用者が望めば、より広範な自動化やデータスクレイピングへと拡張できる余地がうかがえます。
Doctor Web は、技術的な詳細と MITRE ATT&CK へのマッピングを含む完全なレポートを公開しています。セキュリティチームには、起動時に実行される署名なしの Chrome プロセス、PowerShell ベースのダウンローダ、Python や Chrome のアクティビティに関連するタスクスケジューラのエントリに注意するよう推奨されています。
翻訳元: https://hackread.com/chrimerawire-trojan-fakes-chrome-search-activity/
