進行中の取り組みとして、活動中で技術的にも興味深い侵入事例を明らかにするため、新たな「Flash Hunting Findings」調査により、MalwareBytesになりすましてインフォスティーラーを配布し、ユーザーのログイン情報や暗号資産ウォレットのデータを盗み出す、短期間ながらもよく構造化されたマルウェアキャンペーンが判明しました。
この活動は2026年1月11日から1月15日の間に観測され、一貫したZIP構造、固有のbehashの再利用、そしてDLLサイドローディングの悪用によって被害者システム上で実行権限を得る点が特徴です。
脅威アクターは、正規に見せかけるためにMalwareBytesブランドを悪用したZIPアーカイブを配布しています。サンプルの多くは、次のような一貫したパターンのファイル名を使用しています:
malwarebytes-windows-github-io-X.X.X.zip
観測されたすべてのバージョンにおいて、これらのZIPファイルは同一のbehashを共有しており、防御側は容易にクラスタリングして追跡できます:
behash: "4acaac53c8340a8c236c91e68244e6cb"
これらのアーカイブの最初の既知の出現は2026年1月11日に確認され、最新の特定サンプルは2026年1月14日付でした。これは、長期にわたるスパム波ではなく、集中的で期間限定の作戦であることを示唆します。
アーカイブ内部の構成はほぼ同一です。各パッケージには次が含まれます:
- ローダーとして使用される、正規で信頼された実行ファイル(EXE)。
- 主要ペイロードとして機能する悪意のあるDLL。
- ハンティング用のピボット成果物として使われる、一見無害なTXTファイル。
すべてのZIPでこの一貫性があるため、脅威ハンティングの観点からこのキャンペーンは非常に指紋化しやすいものになっています。
インフラとキャンペーンのマッピングのためのTXTピボット
各アーカイブには、VirusTotal上で観測されたTXTファイルが含まれており、ファイル名は gitconfig.com.txt や Agreement_About.txt などです。
このファイルの内容は最小限で、GitHubのURL文字列のみを含み、侵入チェーンに機能的に寄与するものではありません。
しかし、このTXTファイルは防御側にとって非常に有用です。VirusTotal上のリソースを活用し、VT API v3エンドポイントで「execution parents(実行親)」を照会することで:
/api/v3/files/09a8b930c8b79e7c313e5e741e1d59c39ae91bc1f10cdefa68b47bf77519be57/execution_parents
アナリストは、このTXTファイルをドロップした、または相互作用した追加のZIPアーカイブを迅速に列挙できます。
これにより、同一オペレーションに紐づくさらなるサンプルを発見し、キャンペーンの背後にあるより広範なインフラや配布手法をマッピングするための効率的なピボットが得られます。
攻撃の中核はDLLサイドローディングに依存しています。これは、正規の実行ファイルの隣に悪意のあるDLLを配置し、Windowsに本物のライブラリの代わりに、またはそれに加えて攻撃者のコードを読み込ませる、よく知られた手法です。
このキャンペーンでは、主要ペイロードは CoreMessaging.dll という名前の悪意あるDLLです。被害者またはアナリストがZIPに同梱された信頼されたEXEを実行すると、OSはまずローカルディレクトリからDLL依存関係を解決するため、攻撃者が制御するCoreMessaging.dllが読み込まれます。
これにより、正規アプリケーションが起動したように見せかけたまま、脅威アクターはコード実行を得られます。
この作戦で使用されるDLLには、ハンティングの強力な手掛かりとなるいくつかの特徴的な性質があります:
- メタデータ内の異常な署名文字列。たとえば次のようなフレーズ:
Peastaking plenipotence ductileness chilopodous codicillary.
および次のような偽の著作権表記:© 2026 Eosinophil LLC - 奇妙な英数字識別子で構成されたエクスポート関数名。例:
15Mmm95ml1RbfjH1VUyelYFCfおよび2dlSKEtPzvo1mHDN4FYgv
これらの成果物は、VTやEDRテレメトリ検索で使用して、関連するDLLや同一脅威クラスター内の追加ステージを発見するのに役立ちます。
インフォスティーラーの最終ペイロード
サンドボックスにおけるZIPサンプルの「relations(関連)」の振る舞い分析から、明確で再現性のある感染チェーンが示されています。すなわち、ZIPが展開され、正規EXEが実行され、CoreMessaging.dllがサイドロードされ、その後に新たなペイロードがドロップされ実行されます。
これらの分析の「Payload Files」セクションでは、調査者は一貫して、インフォスティーラーとしてフラグ付けされた第2段階バイナリを観測しています。
これらの最終ペイロードは、複数のYARAルールで検出されており、暗号資産ウォレットのブラウザ拡張機能IDやその他の機微データの収集に関連する挙動やパターンに焦点を当てたシグネチャも含まれます。
標準的な認証情報窃取に加え、暗号資産の窃取を強く意識した収益化の狙いが示唆されます。
これら第2段階ペイロードを追跡するために、アナリストは最終段階を表す別のbehashをピボットとして利用できます:
behash: 5ddb604194329c1f182d7ba74f6f5946
このbehashに一致するファイルは、この作戦で使用されたインフォスティーラーファミリーと繰り返し関連付けられており、クラスタリングと継続的なハンティングのための、もう一つの安定した指標となります。
防御側にとって、このキャンペーンはいくつかの具体的な検知・ハンティング機会を提供します:
- MalwareBytes風の名称を用い、初期behashを共有するZIPアーカイブを探す。
-
CoreMessaging.dllを伴うDLLサイドローディング、ならびに異常なエクスポートや特徴的な署名文字列を監視する。 - TXTファイルと2つのbehash値を、VirusTotal、EDRテレメトリ、脅威インテリジェンスプラットフォームでのピボットとして使用する。
- 信頼できないソースからダウンロードされた、予期しないMalwareBytes「インストーラー」やGitHubブランドのZIPは、非常に疑わしいものとして扱う。
観測された活動期間は短いものの、インフラの再利用、DLLの特徴、behash識別子の存在により、十分な装備を持つセキュリティチームにとってこの脅威クラスターは比較的追跡しやすく、信頼されたブランドが依然として認証情報窃取作戦における強力な誘因であることを、改めて示すタイムリーな警鐘となっています。
翻訳元: https://gbhackers.com/user-credentials/
