MicrosoftのApplication Virtualization(App-V)スクリプト「SyncAppvPublishingServer.vbs」を、正規ツール悪用(LOLBIN)として武器化し、Amatera Stealerマルウェアを展開する高度な偽CAPTCHAフィッシング攻撃。
このキャンペーンはステルス性を最優先し、ユーザー行動チェック、サードパーティのインフラ、メモリ内実行を用いて検知回避を図る。
攻撃は、「人間であることの確認」のためとして、Windowsの[ファイル名を指定して実行]ダイアログにコマンドを貼り付けるよう促す欺瞞的なCAPTCHAプロンプトから始まる。
このコマンドはwscript.exeを起動し、署名済みのApp-Vスクリプトを呼び出してPowerShell実行をプロキシする。
これにより、explorer.exe → wscript.exe → SyncAppvPublishingServer.vbs → powershell.exe という異例のプロセスチェーンが作られ、PowerShellを直接起動することに紐づく一般的な検知ルールを回避する。
App-VコンポーネントはWindows EnterpriseおよびEducationエディションでは標準だがHomeやProには存在せず、自然なフィルターとして機能する。未対応システムでは実行が失敗するため、企業環境を狙いつつ、サンドボックスを苛立たせる。
初期段階では環境変数ALLUSERSPROFILE_Xを設定し、ユーザーの手動入力に由来する一致トークンがクリップボード内容にあるかを確認する。
存在しない場合、スクリプトはManualResetEvent.WaitOne()で無期限に停止し、デコイのポップアップを表示する。このゲートにより、本物のユーザー操作だけが先へ進む。
PowerShellはエイリアスとワイルドカードを用いてコマンドレットを動的に解決する。例えばInvoke-Expressionの代わりに「gal i*x」を使い、静的文字列を避ける。
ローダーはTcpClientとSslStreamで構築したカスタムHTTPSルーチンを介して難読化スクリプトを取得し、Invoke-WebRequestのテレメトリを回避する。
重要な転換点として、公開Googleカレンダーの.icsファイルから設定を取得する。
ローダーはSUMMARYが「povvv」のVEVENTを解析し、DESCRIPTIONをbase64デコードして、sec-t2.fainerkern.ruのようなURLを抽出する。
この「他者のインフラを利用する」手法により、初期段階を再配布せずに迅速な更新が可能になる。
その後、環境データのMD5ハッシュにより被害者固有のサブドメインが生成される。そこから別のローダーをダウンロードし、キー「AMSI_RESULT_NOT_DETECTED」でXOR復号する。
ペイロード配信には、gcdnb.pbrd.coのようなCDNからのPNGステガノグラフィが使われる。WinINet APIで画像を取得し、System.DrawingがピクセルバッファのLSBから隠しデータを抽出する。
ペイロードは長さプレフィックス付きで、キー「s8YUKQ0CqUd6HNwGSRDZ%Qpux1N9MKHh」でXOR暗号化され、展開するとPowerShellになり、メモリ内で実行される。
最終復号でシェルコードが得られ、NtAllocateVirtualMemoryで割り当てられた後、新しいスレッドで実行される。これにより、ブラウザや認証情報を狙う情報窃取型のAmatera Stealerがマッピングされる。
Amateraは212.34.138.4に接続し、Hostヘッダー「cdn.extreme[REDACTED]videos.com」を偽装する。ネットワーク処理にはWoW64のシステムコールでNtDeviceIoControlを用い、さらにSSPI暗号化を重ねる。
「GetEndpoints」リクエストにより動的パス(例:a、b、c)を取得し、モジュール型のC2を可能にする。
このチェーンの信頼性は、署名済みのMicrosoftツール、行動ゲート、回避戦術に由来する。マルウェア中心の防御をすり抜け、企業システム上で静かに成功する。
偽CAPTCHAの誘導が増える中、防御側はエンドポイントよりも配信経路を優先して対策する必要がある。
翻訳元: https://cyberpress.org/app-v-exploited-in-captcha-phishing/