OysterLoaderと呼ばれる高度なマルウェアローダーが、ランサムウェア侵入と大規模なデータ盗難に関連する多段階のダウンローダーとして発見されました。
OysterLoaderはC++で記述され、主に正規のソフトウェアダウンロードサイトを模倣した悪意のあるウェブサイトを通じて拡散します。
攻撃者は通常、PuTTY、WinSCP、Google Authenticator、さらにはAIソフトウェアインストーラーなどの一般的なITツールになりすまします。
被害者は安全なアプリケーションをインストールしていると信じますが、代わりに署名されたMicrosoft Installer(MSI)を実行し、マルウェアを密かに起動します。
セキュリティレポートによれば、このローダーはRhysidaランサムウェアグループによって使用され、Wizard Spider犯罪エコシステムに関連するパートナーによっても使用されている可能性があります。
研究者はまた、Vidar情報窃取トロイの木馬を含むコモディティ脅威を配信するマルウェアも観察しています。
いくつかのケースでは、感染はユーザーを偽のダウンロードページにリダイレクトするGootloaderキャンペーンを通じて開始されます。
OysterLoaderは検出を回避するために設計された4段階の感染チェーンを使用します。
最初の段階はTextShellと呼ばれるパッカーで、隠されたコードをメモリに直接読み込みます。実行可能なメモリを割り当て、暗号化されたデータを小さなブロックでコピーします。
マルウェアはシステムに数百の無害なWindows API呼び出しで満たし、正当に見えるようにしてセキュリティツールを混乱させます。また、デバッガが存在するかどうかを確認し、分析が検出された場合は実行を凍結します。
その動作をさらに隠すため、OysterLoaderは表示されたインポートの代わりにカスタムハッシングを使用してWindows関数を動的に解決します。これにより、従来のアンチウイルスソフトウェアが疑わしいAPI使用法を認識するのを防ぎます。
第2段階では、シェルコードは変更されたLZMAアルゴリズムを使用して隠されたペイロードを解凍します。
圧縮形式が変更されているため、一般的なツールは簡単にアンパックできません。シェルコードはメモリアドレスを修正し、必要なライブラリを読み込み、次のコンポーネントを実行します。
第3段階はダウンローダーおよび環境テスターとして機能します。システム言語をチェックし、実行中のプロセス数をカウントし、サンドボックスを検出するためにタイミング遅延を実行します。
条件が正常に見える場合、マルウェアはHTTPSを使用してコマンド・アンド・コントロール(C2)サーバーに接触します。偽のヘッダーと「WordPressAgent」ユーザーエージェントでトラフィックを偽装します。
サーバーはステガノグラフィーによって隠された暗号化マルウェアデータを含む一見無害なアイコンファイルで応答します。
ペイロードをデコードした後、OysterLoaderはWindows Task Schedulerを通じて13分ごとに実行される悪意のあるDLLをインストールします。
最終段階は複数のハードコードされたサーバーと通信します。ユーザー名、コンピュータ名、ドメイン、オペレーティングシステムバージョンなどのシステム情報を送信します。
マルウェアはカスタマイズされたBase64エンコーディング、ランダムなシフトキー、および変化する通信エンドポイントを使用してネットワーク検出を回避します。新しいバージョンはプロセスリストの実行や通信中の暗号化アルファベットの動的更新さえ送信します。
マルウェアの継続的な更新、進化するインフラストラクチャ、および高度な難読化は、積極的な開発努力を示しています。
セキュリティアナリストは、OysterLoaderが2026年全体を通じて、特に検証されていないソースから管理ツールをダウンロードすることに依存する組織にとって重大な脅威であり続けると信じています。
翻訳元: https://cyberpress.org/oysterloader-fuels-rhysida-attacks/