セキュリティ研究者は、2026年1月11日から1月15日にかけて実行された活動中のマルウェアキャンペーンを特定しました。このキャンペーンでは攻撃者が正規のセキュリティソフトウェア企業であるMalwarebytesになりすまし 、ユーザーをだまして悪意のあるファイルをダウンロードさせます。
このキャンペーンでは、本物のMalwarebytesソフトウェアのダウンロードを装うように命名された偽のZIPファイルが使用されます。すべての悪意のあるファイルは固有の識別子(behash: 4acaac53c8340a8c236c91e68244e6cb)を共有しており、セキュリティチームが追跡・特定しやすくなっています。
攻撃チェーンは、DLLサイドローディングと呼ばれるシンプルながら効果的な手法に従います。この手法は、正規のプログラムファイルの隣に悪意のあるソフトウェアを配置することで、Windowsに有害なソフトウェアを実行させます。
ユーザーがMalwarebytesソフトウェアに見えるものをダウンロードすると、実在するWindowsプログラムと、CoreMessaging.dllという名前の隠された悪意のあるファイルの両方を含むZIPアーカイブを受け取ります。
ユーザーが正規の実行ファイルを展開して実行すると、Windowsは自動的に悪意のあるDLLを読み込み、ユーザーが気づかないうちに感染プロセスが開始されます。
各ZIPファイルの中には、攻撃者がテキストファイル(gitconfig.com.txtやAgreement_About.txtといった名前の場合があります)も含めており、その中にGitHubのURLが記載されています。
このテキストファイルは攻撃に直接の役割を果たしませんが、キャンペーンのインフラを調査し、関連する悪意のあるサンプルを特定するセキュリティ研究者にとって貴重な追跡ツールとなります。
真の危険は、悪意のあるDLLが実行された後に投下される第2段階のペイロードにあります。研究者は、これらのペイロードがインフォスティーラー(機密性の高いユーザー情報を盗むよう設計された特化型マルウェア)であることを突き止めました。
インフォスティーラーが特に狙うのは次の情報です:ユーザーのログイン認証情報とパスワード、暗号資産ウォレットのブラウザ拡張機能の識別子、個人の金融情報
最終ペイロードは別の固有の識別子(behash: 5ddb604194329c1f182d7ba74f6f5946)を使用しており、アナリストがインターネット全体で影響を受けたすべてのシステムと亜種を追跡できるようにしています。
悪意のあるDLLファイルには、正規ソフトウェアには存在しない異常なメタデータ署名(「Peastaking plenipotence ductileness chilopodous codicillary」および「© 2026 Eosinophil LLC」)が含まれています。
さらに、これらのDLLは、開発者が通常使用しない奇妙な英数字の関数名(15Mmm95ml1RbfjH1VUyelYFCfおよび2dlSKEtPzvo1mHDN4FYgv)をエクスポートしており、検知のための信頼できる指標となります。
ユーザーは、公式企業サイトから直接ソフトウェアのダウンロードを確認し、不明なファイル提供元に対するブラウザ警告を有効にするべきです。
組織は、不審なDLL読み込みを監視し、特定されたIoCに一致するファイルを直ちにブロックするために、エンドポイント検知・対応 (EDR)ツールを導入すべきです。
セキュリティチームは、迅速な調査と脅威ハンティングのために、VirusTotalの公開コレクションを通じて、悪意のあるファイルハッシュとハンティングクエリの完全な一覧にアクセスできます。
翻訳元: https://cyberpress.org/malwarebytes-impersonation-login-credential-theft/