「SpearSpecter」と呼ばれる新たな高度なスパイ活動キャンペーンが確認されており、高位の国防・政府関係者を標的にTAMECATバックドアを展開している。
イランの国家支援グループAPT42によるものとされるこのキャンペーンは、巧妙なソーシャルエンジニアリングを用いて、Microsoft EdgeおよびGoogle Chromeから機密性の高い認証情報を盗み出す、モジュール式のPowerShellベースのインプラントを配布する。
インストールされると、TAMECATは永続的なアクセスを提供し、攻撃者が任意のコマンドを実行し、スクリーンショットを取得し、TelegramやGlitchのような秘匿チャネルを介してブラウザデータを持ち出せるようにする。
感染は、最適な実行経路を判断するための環境チェックを行うVBScriptファイルから始まる。
Pulsediveは、スクリプトがWMIを使用してインストール済みのアンチウイルス製品を照会し、アンチウイルス一覧に「Windows」が検出された場合、 conhost を利用してPowerShellコマンドを起動することに気づいた。
このロジックは、マルウェアが特定のセキュリティ製品を回避しつつ、標準的なシステム管理ツールに紛れ込もうとしていることを示唆している。
コアローダー(nconf.txt)は、AESで暗号化されたブロックを含む、強く難読化されたPowerShellスクリプトである。
このスクリプトは、コード内に埋め込まれたBase64エンコードURLから次段階を取得する。デコード前に、静的解析による検知を回避するため、文字列の先頭3バイトを削除する。
取得したコンテンツ(df32s.txt)は、その後ビット単位のNOT演算で加工され、UTF-8文字列に変換される。
TAMECATは秘匿性の高いデータ窃取を目的として設計されており、ブラウザ環境を標的とする特定のモジュールを備える。マルウェアは %LocalAppData%\Chrome にディレクトリを作成し、コマンド&コントロール(C2)サーバーとのセッションを確立する。
マルウェアはOSバージョンやコンピューター名などのシステム情報を収集し、 config.txt に保存される一意の被害者トークンを生成する。
翻訳元: https://cyberpress.org/tamecat-backdoor-steals-edge-chrome-credentials/