新たな悪意あるキャンペーンが、ClickFix手法を偽のCAPTCHAと、署名付きのMicrosoft Application Virtualization(App-V)スクリプトと組み合わせ、最終的にAmatera情報窃取マルウェアを配布します。
Microsoft App-Vスクリプトは、正規のMicrosoftコンポーネントを介してPowerShellの実行をプロキシする「環境寄生型(living-off-the-land)」バイナリとして機能し、悪意ある活動を隠蔽します。
Microsoft Application Virtualizationは、アプリケーションをパッケージ化し、システムに実際にインストールすることなく、隔離された仮想環境で実行できるようにする企業向けWindows機能です。
App-Vスクリプトは、セキュリティソリューションを回避するために過去にも悪用されたことがありますが、情報窃取型マルウェアを配布するClickFix攻撃でこの種のファイルが観測されたのは今回が初めてです。
脅威ハンティング、検知、対応サービスを提供するBlackPoint Cyberによると、この攻撃は偽のCAPTCHAによる人間確認チェックから始まり、被害者にWindowsの「ファイル名を指定して実行」ダイアログを使ってコマンドを手動で貼り付けて実行するよう指示します。
出典: BlackPoint
貼り付けられたコマンドは、通常は仮想化された企業向けアプリケーションの公開と管理に使用される正規のSyncAppvPublishingServer.vbs App-Vスクリプトを悪用します。
このスクリプトは信頼されたwscript.exeバイナリを使用して実行され、PowerShellを起動します。
初期段階では、コマンドはユーザーが手動で実行したこと、実行順序が想定どおりであること、クリップボードの内容が変更されていないことを検証し、サンドボックス環境でマルウェアローダーが動作しないようにします。
BlackPoint Cyberの研究者によれば、解析環境が検出された場合、無限待機を用いて実行が静かに停止し、自動解析リソースを浪費させる可能性があります。
条件が満たされると、マルウェアは公開Googleカレンダーファイルから設定データを取得します。このファイルには、特定のイベント内にbase64でエンコードされた設定値が含まれています。
攻撃の後段では、Windows Management Instrumentation(WMI)フレームワークを介して32ビットの隠しPowerShellプロセスが生成され、複数の埋め込みペイロードが復号されてメモリに読み込まれます。
その後、感染チェーンはステガノグラフィを用いたペイロードの隠蔽へと移行し、暗号化されたPowerShellペイロードが公開CDN上にホストされたPNG画像に埋め込まれ、解決されたWinINet APIを介して動的に取得されます。
出典: BlackPoint
ペイロードデータはLSBステガノグラフィによって抽出され、復号され、GZipで展開され、完全にメモリ上で実行されます。最終のPowerShell段階ではネイティブシェルコードを復号して起動し、Amatera情報窃取マルウェアをマッピングして実行します。
.jpg)
出典: BlackPoint
ホスト上で有効化されると、マルウェアはハードコードされたIPアドレスに接続してエンドポイントのマッピングを取得し、HTTP POSTリクエストで配信される追加のバイナリペイロードを待ち受けます。
BlackPoint Cyberは、Amateraマルウェアを、感染したシステムからブラウザデータや認証情報を収集できる標準的な情報窃取型マルウェアに分類していますが、データ窃取能力の詳細については多くを明かしていません。
コードの重複に基づくと、AmateraはACR情報窃取マルウェアをベースにしており、活発に開発が続けられているマルウェア・アズ・ア・サービス(MaaS)として提供されています。Proofpointの研究者は昨年のレポートで、Amateraはアップデートのたびにより高度化していると述べています。
Amateraのオペレーターは過去にもClickFix手法でこれを配布しており、ユーザーがPowerShellコマンドを直接実行するよう騙されていました。
これらの攻撃に対抗するため、研究者はグループポリシーでWindowsの「ファイル名を指定して実行」ダイアログへのアクセスを制限すること、不要な場合はApp-Vコンポーネントを削除すること、PowerShellログを有効化すること、そしてHTTP HostヘッダーまたはTLS SNIと宛先IPの不一致がないか送信接続を監視することを提案しています。
