Pythonベースの配信チェーンを用いて新興のCastleLoaderファミリーを展開する新たなマルウェアキャンペーンが、サイバーセキュリティ研究者によって発見されました。
Blackpointによると、この活動は、ユーザーにWindowsの[ファイル名を指定して実行]ダイアログを開かせ、無害な検証手順の一部に見えるコマンドを実行させるClickFixのソーシャルエンジニアリングの誘導文を利用することを中心に展開されています。
その単一の操作により、攻撃者が制御するペイロードをメモリ上で静かにダウンロード、復号、実行する多段階のシーケンスが開始されます。
この新しいキャンペーンで新たに見られるのは、従来のAutoItドロッパーがコンパクトなPythonローダーに置き換えられている点です。研究者によると、ClickFixのコマンドは非表示のconhost.exeプロセスを起動し、Windows標準のツールを使って小さなtarアーカイブを取得し、それをAppDataに展開して、ウィンドウの表示されないPythonインタープリタを実行します。
同梱されたインタープリタは、コンパイル済みのPythonバイトコードファイルを実行し、CastleLoaderのシェルコードを完全にメモリ上で再構成して復号します。このマルウェアファミリーで長らく使われてきたこの手法は、従来型の実行ファイルをディスク上に配置することを回避します。
続くシェルコードは、ハードコードされたGoogeBotユーザーエージェントと、過去のCastleLoaderのオペレーションと一致するステージングパスを用いて最終段階を取得します。
その後、PEB Walking(プロセス環境ブロック(PEB)をスキャンして読み込まれたモジュールを特定し、通常のインポートを使わずに関数アドレスを解決する手法)を適用し、実行時に必要なAPIを解決します。さらに、ダウンロードしたペイロードの先頭16バイトをXORキーとして用いて復号し、メモリ上で直接実行します。
ClickFixベースのキャンペーンについて詳しく読む: 「ClickFix」フィッシング詐欺がBooking.comになりすまし、ホスピタリティ業界を標的に
Blackpointは、ネットワーク上の指標とローダーの挙動の重複に基づき、この活動をCastleLoaderに関連付けました。
GoogeBotユーザーエージェントは2025年のCastleLoaderトラフィックで繰り返し確認されており、/service/download/ パスは以前のステージング基盤を踏襲しています。
また、このマルウェアがハッシュ化されたDLL名、ハッシュ化されたAPI識別子、PEB Walkingに依存している点も、過去のサンプルと一致します(ただし、この亜種ではAutoItのステージャーがPythonスクリプトに置き換えられています)。
Blackpointは、組織が露出を抑えるために取れるいくつかの手順を強調しました:
-
検証コマンドの実行を指示するClickFixの誘導についてユーザーを教育する
-
必要としないユーザーに対して[ファイル名を指定して実行]ダイアログへのアクセスを制限する
-
運用上不要な場合はcmd.exe、PowerShell、Pythonへのアクセスを制限する
-
conhost.exe、cmd.exe、pythonw.exeが関与する異常なLOLBinの連鎖を監視する
-
不審または新規登録ドメインに関するDNSアクティビティを追跡する
-
AppDataなど非典型的な場所から実行されるPythonバイナリに注意する
同社は、最終ペイロードは解析できなかったものの、観測されたすべての段階がCastleLoaderの確立された手法と一致していたと結論付けました。
翻訳元: https://www.infosecurity-magazine.com/news/clickfix-rise-castleloader-attacks/
