新たな調査により、DocuSignのブランドを悪用してVidarマルウェアを配布し、Windowsシステムに感染させる高度なフィッシングキャンペーンが明らかになりました。
この作戦では、精巧なフィッシングサイト、署名済みを装った偽インストーラー、アクセスコードのチェック、そして時間ベースの実行障壁を用いて、ユーザーと自動解析の双方を回避します。
DocuSignを装ったフィッシングの仕組み
攻撃は、DocuSignから送られたように見せかけ、受信者に文書の確認を促す標的型フィッシングメールから始まります。
メッセージは正規のDocuSignサイトではなく、類似ドメインであるdocu[.]sign-platform[.]appへリンクしており、被害者がページを信頼してダウンロードを進めてしまう可能性を高めています。
不正なポータルにアクセスすると、ユーザーはDocuSign_PackageInstaller.exeのダウンロードを促され、正規のDocuSignパッケージとして提示されます。
署名済みを装った偽インストーラーとゲート付き実行
ダウンロードされるファイルは、単一ファイルの.NETバンドルで、中国の企業に発行された有効なコード署名証明書で署名されています。これは評判チェックを回避し、Windowsシステム上での疑念を下げる意図があると考えられます。
内部では、主要ロジックがアクセスコードのゲートで保護されています。実行時にプログラムはコードと署名を検証し、入力されたコードをコマンド&コントロールサーバーへ送信します。
サーバーがコードを検証した場合にのみマルウェアは処理を継続し、次段階を取得します。これにより、自動サンドボックスや簡易的な解析ではペイロードに到達しにくくなります。
バイナリの静的解析では、URLと第2段階ローダーが埋め込まれていることが示されており、動作するアクセスコードがなくても解析者が次段階を回収できるようになっています。
この手法により、防御側は対話的な障壁があっても配布チェーン全体を再構築できます。
第2段階のペイロードはネイティブのWindowsバイナリで、ローカルのシステム時計ではなくオンラインの時刻ソースに基づくタイムボムチェックを含み、解析環境での単純な時計改ざんを無効化します。
このサンプルはまた、パッキングと多層的な難読化を用いて リバースエンジニアリング を妨害し、挙動検知を遅らせます。
適切な条件下で実行されると、このパックされた第2段階は最終的にVidarをドロップして実行します。Vidarは広く知られた情報窃取型マルウェアです。
Vidarは通常、ブラウザデータ、認証情報、暗号資産ウォレット、その他の機微情報を標的とし、攻撃者に被害者のデジタル生活を広範に把握させます。
このDocuSignを装った手口は、脅威アクターが現在、次の要素を組み合わせていることを示しています。
- 信頼されるブランドと非常に説得力のあるフィッシングページ
- 正規のコード署名証明書
- アクセスコードでゲートされたC2ロジック
- オンライン時刻チェックとパッキング
JoeSecurityによると、これらの手法により、この一連の攻撃は自動サンドボックスや迅速なトリアージに対して耐性を持ち、防御側が対応する前にWindowsユーザーが侵害される可能性が高まります。
翻訳元: https://gbhackers.com/new-docusign-themed-phishing-scam-delivers-stealth-malware/
