単純なドメインの取り違えが、家庭用コンピュータを住宅用プロキシノードに変換する大規模なマルウェアキャンペーンに発展しました。
この事件は、あるPC組み立て業者がRedditのr/pcmasterraceに投稿し、正規のプロジェクトサイト7-zip.orgではなく7zip[.]comから7-Zipをダウンロードしたことを認めた後に発覚しました。
YouTubeのチュートリアルに従い、ユーザーはノートパソコンにファイルをインストールし、その後USBを介して新しく組み立てたデスクトップに移動しました。
32ビット版と64ビット版のエラーが繰り返し表示された後、インストーラーを諦め、Windowsの組み込み解凍ツールに頼りました。
約2週間後、Microsoft Defenderが一般的なアラート(Trojan: Win32/Malgent!MSR)を発し、ソフトウェア調達における小さなミスが長期にわたる不正なシステム使用につながる可能性があることを示しました。
これは粗雑な偽のダウンロードではありませんでした。7zip[.]Comの背後にいる運営者は、疑いを避けるために7-Zip File Managerの機能的なコピーを含むトロイの木馬化されたインストーラーを提供しながら、密かに追加のマルウェアを展開しました。
インストーラーはJozeal Network Technology Co., Limitedに発行された証明書でAuthenticode署名されており(現在は失効)、表面的な信頼性を与えていました。
バックグラウンドでは、Uphero.exe(サービスマネージャー/アップデートローダー)、hero.exe(Go言語でコンパイルされたメインのプロキシペイロード)、およびhero.dll(サポートライブラリ)を特権パスC:\Windows\SysWOW64\hero\にドロップしました。
研究者はまた、update.7zip[.]com/…/Uphero.exe.zipに別のアップデートチャネルを観察し、マルウェアがインストーラーとは独立してアップデートできることを示唆しています。
動作分析は、永続性と信頼性の高いネットワーク動作のために設計された明確な感染チェーンを示しています。まず、ペイロードがSysWOW64にインストールされ、昇格された権限と深いOS統合を意味します。
次に、Uphero.exeとhero.exeのWindowsサービスを登録し、SYSTEM権限で起動時に自動起動するようにします。
その後、netshを使用してファイアウォールルールを操作し、既存のルールを削除し、バイナリに関連付けられたインバウンドおよびアウトバウンドトラフィックの新しい許可ルールを作成します。
マルウェアは、WMIとWindows APIを介してホストをプロファイリングし、ハードウェアとネットワークの特性を収集し、iplogger[.]orgなどのサービスに関連付けられたエンドポイントを通じてメタデータを報告し、プロキシ登録の一部としてデバイス/ネットワークレポートを示しています。
主な目的は住宅用プロキシの収益化です。従来のバックドアのように動作するのではなく、hero.exeは「smshero」/「hero」をテーマにした回転するコマンド&コントロールドメインから設定を取得し、1000や1002などの非標準ポートを介してアウトバウンドプロキシ接続を開きます。
トラフィック分析は、制御メッセージを隠すために使用される軽量なXORベースのプロトコル(キー0x70)と、しばしばCloudflareによってフロントされる暗号化されたHTTPSトランスポートを示しています。
これは、実際の消費者IPアドレスへのアクセスがスクレイピング、広告詐欺、アカウント悪用、または匿名化のロンダリングのために販売される商業スタイルの住宅用プロキシネットワークと一致しています。
研究者は、7-Zipのなりすましが複数の偽インストーラーで共有ツールを使用するより広範な作戦の一部であり、関連するバイナリがupHola.exe、upTiktok、upWhatsapp、upWireなどの名前で表示されていると指摘しています。
これらの亜種は同じプレイブックを再利用しています:SysWOW64展開、サービスの永続性、ファイアウォール操作、暗号化されたC2、および統一されたバックエンドを示唆する共通の文字列。
マルウェアには、VM検出(VMware/VirtualBox/QEMU/Parallels)、アンチデバッグチェック、ランタイムAPI解決、環境検査、および広範な暗号サポート(AES、RC4、Camellia、XOR、Base64)などの回避機能も含まれています。
さらに、Googleのリゾルバーを介してDNS-over-HTTPSを使用することで、ネットワークの可視性を低減します。防御者は、7zip[.]comからインストーラーを実行したシステムを潜在的に侵害されたものとして扱う必要があります。
主要な指標には、C:\Windows\SysWOW64\hero\Uphero.exe、…\hero.exe、および…\hero.dllにファイルが存在すること、そのディレクトリを指すWindowsサービス、「Uphero」または「hero」という名前のファイアウォールルール、およびミューテックスGlobal\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7が含まれます。
このキャンペーンは、攻撃者がソフトウェアのバグを悪用することなく、信頼、ブランド認知度、およびユーザーがクリックする場所の小さなエラーを悪用することで、収益性の高いボットネットを構築できることを示しています。
翻訳元: https://cyberpress.org/fake-7-zip-builds-botnet/