TokyoBlackHatNews

gbhackers.com 4分で読了

偽のアダルトゲームを介してxRATマルウェアがWindowsユーザーを標的に

AhnLabセキュリティインテリジェンスセンター(ASEC)は、韓国のウェブハードサービスを通じてWindowsユーザーを狙う危険な配布キャンペーンを発見しました。

脅威アクターは、xRAT(QuasarRAT)マルウェアを利用し、正規のアダルトゲームコンテンツに偽装して、疑いのないユーザーをだまして悪意のあるファイルをダウンロード・実行させています。

韓国のウェブハードサービスはマルウェア配布の主要な経路となっており、脅威アクターはユーザー間での人気を一貫して悪用しています。

このxRATキャンペーンの背後にいる悪意ある攻撃者は、njRAT、Remcos、UDP Rat、Korat、XWormといったマルウェアファミリーを含む複数の過去キャンペーンで記録されているパターンに従っています。

ペイロードを正規のソフトウェア、ゲーム、アダルトコンテンツに偽装することで、これらの脅威アクターは初期検知を回避しつつ高い感染率を維持しています。

欺瞞的な配布メカニズム

攻撃は、ユーザーが侵害された、または詐欺的なウェブハード投稿からアダルトゲームに見えるものをダウンロードするところから始まります。展開すると、ZIPファイルには「Game.exe」「Data1.Pak」「Data2.Pak」「Data3.Pak」など、一見無害に見えるファイルが含まれています。

Image
ファイル構造

ユーザーは当然、ゲームが起動すると期待して「Game.exe」を実行します。しかし、この実行ファイルは実際のゲームアプリケーションではなく、悪意あるランチャーとして機能します。

初期ランチャーは「Data1.Pak」から正規のゲームランチャーを実行し、正当性があるかのような錯覚を生み出します。

ゲームが動作している間、マルウェアはバックグラウンドで密かに展開されます。これは、ユーザーに感染を気付かせない高度なソーシャルエンジニアリング手法です。

ユーザーが「Game Play!」ボタンをクリックすると、マルウェアは感染チェーンを開始します。

ランチャーはファイルを隠しシステムディレクトリにコピーします。「Data1.Pak」は「Locales_module」フォルダー内で「Play.exe」になり、「Data2.Pak」と「Data3.Pak」はそれぞれ「GoogleUpdate.exe」「WinUpdate.db」という名前で「C:\Users[User Account Name]\AppData\Local\Microsoft\Windows\Explorer」に移動されます。

「GoogleUpdate.exe」コンポーネントは重要な悪意ある処理を実行します。「WinUpdate.db」を見つけ出し、AESベースの復号を適用して最終的なシェルコード・ペイロードを抽出します。

特筆すべき点として、このコンポーネントはexplorer.exe内のEtwEventWrite()関数を0xC3(RET)命令でパッチし、Windowsのイベントトレーシング(ETW)によるイベントログ記録を事実上無効化します。これは、セキュリティツールが脅威検知のために依存している主要な防御機構です。

xRATの機能と影響

explorer.exeにインジェクトされる最終ペイロードはxRAT(QuasarRATとしても知られる)で、広範な悪意ある機能を備えたオープンソースのリモートアクセス型トロイの木馬(RAT)です。

Image
 イベントログ無効化コード

起動すると、xRATは機密性の高いシステム情報を収集し、キーストロークロギングによって認証情報や機密データを窃取し、侵害されたシステム上でファイルのダウンロード/アップロードを行うことができます。

これらの機能により、xRATは個人ユーザーと組織のセキュリティの双方にとって深刻な脅威となります。

韓国のウェブハードサービスや同様のファイル共有プラットフォームを通じたマルウェア配布が活発であることを踏まえ、ユーザーはこれらの入手元から実行ファイルをダウンロードする際に最大限の注意を払う必要があります。

主要な防御戦略は、サードパーティのファイル共有プラットフォームではなく、公式ベンダーのWebサイトからのみソフトウェアを入手することです。

セキュリティチームは、エンドポイント検知・対応(EDR)ソリューションを導入し、システムを最新のセキュリティパッチで更新し続けるべきです。

AhnLabは次の検知シグネチャを提供しています。ファイル検知にはData/Bin.Shellcode、Trojan/Win.Agent.C5834849、Trojan/Win.Loader.C5834845、Trojan/Win32.Subti.C1663822が含まれます。挙動検知にはMalware/MDP.Behavior.M1839が含まれます。

ウェブハードを基盤とするマルウェア配布が継続していることは、サイバー脅威との継続的な戦いにおいて、ユーザーの意識向上と厳格なソフトウェア入手ルールの維持が重要であることを浮き彫りにしています。

翻訳元: https://gbhackers.com/xrat-malware/

ソース: gbhackers.com
#AES復号 #ETW無効化 #QuasarRAT #Windowsマルウェア #xRAT #ZIPファイル感染 #アダルトコンテンツ悪用 #リモートアクセス型トロイの木馬(RAT) #偽装ゲーム #韓国Webhard

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚