2025年を通じて活動している進行中のマルウェアキャンペーンは、マルバタイジングを利用して高度なPowerShellベースのフレームワークを配布しています。
Cisco Talosの研究者によると、このマルウェアはAHK Botマルウェアファミリーとの類似性から「PS1Bot」と名付けられています。複数の悪意あるモジュールを展開し、機密情報の窃取、キーストロークの記録、画面のキャプチャ、永続化の維持などが可能です。
感染の連鎖は、被害者が悪意ある広告や検索エンジン最適化(SEO)ポイズニングリンクから圧縮アーカイブをダウンロードすることから始まります。
アーカイブには「FULL DOCUMENT.js」というJavaScriptファイルが含まれており、VBScriptが埋め込まれています。実行されると、PowerShellスクリプトを取得し、コマンド&コントロール(C2)サーバーから追加モジュールを取得します。これらはメモリ上で実行されるため、フォレンジック上の痕跡が減少します。
マルバタイジングを利用したマルウェア配布の詳細はこちら:NCSCがマルバタイジング脅威への対策を公開
Talosは以下のような異なるモジュールを特定しています:
-
アンチウイルス検出
-
画面キャプチャ
-
暗号通貨ウォレットおよびブラウザデータの窃取
-
キーロギングおよびクリップボード監視
-
システム情報の収集
-
永続化
各モジュールはHTTPリクエストを通じて攻撃者にステータス更新を報告します。
特に「grabber」モジュールは、数十種類のウェブブラウザや暗号通貨ウォレット拡張機能を標的とし、ローカルドライブ上のウォレットのシードフレーズやパスワードを含むファイルを検索し、圧縮して流出させます。
画面キャプチャツールは、実行時にC#コードをコンパイル・実行してJPEGスクリーンショットを生成し、それらをエンコードしてC2サーバーに送信します。キーロガーはWindows APIフックを利用してキーストロークやマウスイベント、クリップボードの内容を取得します。永続化は、PowerShellスクリプトやショートカットを作成し、システム起動時にC2ループを再開させることで実現されます。
TalosはSkitnetバイナリ自体を直接観測していませんが、インフラ、モジュール設計、URL構造の重複から、Skitnet/Bossnetを配布するキャンペーンとの関連が示唆されています。
研究者らは、ドライブのシリアル番号を使ってC2パスを構築する点や、迅速なアップデートを可能にするモジュール式設計など、AHK Botとのアーキテクチャ上の類似点も指摘しています。
Talosは、他にも未発見のPS1Botモジュールが存在する可能性が高いと評価しています。このマルウェアの柔軟なフレームワークと活発な開発状況から、攻撃者が機能を適応させることで今後も進化を続けると見られます。
翻訳元: https://www.infosecurity-magazine.com/news/malvertising-powershell-malware/