サイバー犯罪者に新たなステルスツールが登場しました。Caminho Loader-as-a-Service(LaaS)です。2025年3月以降に活動しているブラジル発のこのマルウェアは、最下位ビット(LSB)ステガノグラフィを用いて、無害に見える画像の中に.NETペイロードを隠します。
ローダーが完全にメモリ上で実行され、ディスク上にファイルを残さないため、従来型のアンチウイルスでは検知が困難です。
ポルトガル語で「道」を意味するCaminhoは、レンタルサービスとして提供されます。攻撃者はREMCOS RAT、XWorm、Katz Stealerなど自前のペイロードを用意し、Caminhoが配信を担います。
71サンプルの分析では、ポルトガル語の文字列や「HackForums.gigajew」名前空間など、一貫したパターンが確認されました。さらに、VM検知、サンドボックス回避、デバッガチェックといった解析妨害の手口も組み込まれています。
Caminhoはフィッシングにより、機会主義的に被害者を狙います。確認された感染はブラジル、南アフリカ、ウクライナ、ポーランドに及び、南米から拡大しています。業種はさまざまですが、誘導文面は業務文書(請求書、見積書、提案書)を装っています。
APT-C-54(BlindEagle)は2025年9月、コロンビアの政府機関に対してこれを使用しました。被害者は緊急性に駆られて添付ファイルを開き、迅速な感染につながります。
攻撃は段階的に進行し、信頼されたサービスを悪用します:
Caminho自体には自己増殖機能はなく、REMCOSのような最終ペイロードが、窃取した認証情報を用いてラテラルムーブメントを実行します。
対話型サンドボックスはCaminhoの防御を回避できます。あるサンプル(ANY.RUN分析)では、JSが隠しPowerShellを起動します。Base64をデコードし、archive.org上の画像から抽出して、.NETをメモリ上にロードします。
別のサンプル(ANY.RUN分析)では、AddInProcess32にAsyncRATを投入します。トレーサーにより、ネットワーク操作、遅延、呼び出しが露呈し、静的ツールでは見落とす点が明らかになります。
ANY.RUNのTI Lookupで「caminholoader」または「caminho」(リンク)を検索してください。IOC、キャンペーン、国/業種別の標的を検出します。
振る舞い検知で防御しましょう:PowerShellによる画像ダウンロード、メモリロード、LSBの異常を監視します。
ペーストサービスは選択的にブロックしてください。緊急性を煽る誘導への訓練を行いましょう。対話型サンドボックスのようなツールは、実行時の可視性を提供します。
Caminhoは、ステガノ、ファイルレス運用、モジュール性を融合し、マルウェア配信を進化させています。サービスモデルにより、攻撃を低コストでスケールさせます。
翻訳元: https://cyberpress.org/caminho-laas-hides-net-payloads/