pkr_mtsi として知られる悪意のある Windows パッカーが、大規模なマルバートタイジングと SEO 汚染キャンペーンで使用される柔軟なマルウェアローダーとして特定されました(新しい調査によると)。
ReversingLabs (RL) により 2025 年 4 月 24 日に初めて野生で観察されたこのツールは、執筆時点まで活発に活動しています。主に正規ソフトウェアになりすましたトロイの木馬化されたインストーラーの配布に使用されています。
このパッカーは初期アクセス操作において重要な役割を果たしています。単一のマルウェアファミリーを配信する代わりに、pkr_mtsi は Oyster、Vidar、Vanguard Stealer、Supper を含む広範な後続ペイロードの配備に使用されています。
火曜日に発表されたアドバイザリーで、RL は pkr_mtsi が PuTTY、Rufus、Microsoft Teams などのよく知られたユーティリティのインストーラーに偽装されていることが多いと述べています。
研究者たちは、これらの感染は侵害されたベンダーから発生していないことを強調しています。代わりに、被害者は有料検索広告と操作された検索ランキングを通じて視認性を得ている偽のダウンロードサイトを通じてだまされています。
一般的なアンチウイルス検出は、「oyster」または「shellcoderunner」などの用語をよく参照し、配信されたペイロードとの重複を反映しています。ただし、既存の公開検出ルールはサンプルのサブセットのみを識別するため、RL はすべての既知バリアントをカバーするより広い YARA ルールをリリースしました。
過去 8 ヶ月間、pkr_mtsi は着実に進化しています。後のバージョンでは、より重い難読化、ハッシュ化された API 解決、および分析対策技術を導入しながら、一貫した実行モデルを保持しています。
初期段階の動作は、メモリ割り当てで確実に開始され、その後、多数の小さなメモリ書き込みを通じて次段階のペイロードを再構築します。
研究で強調されている主な特性は以下の通りです:
-
変更された UPX パックされた中間段階の使用
-
新しいビルドでの ZwAllocateVirtualMemory への難読化された呼び出し
-
分析を妨害することを目的とした無駄な GDI API 呼び出し
-
プロセス終了または無限ループを強制できるアンチデバッグチェック
マルウェアローダーと初期アクセス技術について詳しく知る: CoffeeLoader マルウェアローダーが SmokeLoader 操作にリンク
継続的な変更にもかかわらず、パッカーの構造は耐久性のある検出機会を提供しています。注目すべきプログラミング上の欠陥は、無効な保護フラグを使用した NtProtectVirtualMemory への繰り返し呼び出しを含み、エンドポイント テレメトリで監視できる予測可能なエラーを生成します。
DLL バリアントは、regsvr32.exe などの信頼できる Windows ユーティリティを介した実行をサポートし、レジストリベースの COM 登録を介した永続性を有効にすることで、さらに複雑性を追加します。
「DFIR 実務者にとって、パッカーのステージング アーキテクチャ、変更された UPX 中間、および代替実行パス(特に regsvr32.exe 経由の DLL ベースの実行)を理解することで、より高速なトリアージ、より信頼性の高いアンパッキング、およびパッカー動作とペイロード機能のより明確な分離が可能になります」と RL チームは述べています。
「これらの技術とこのレポートで提示された検出ロジックを組み合わせることで、防御者は攻撃ライフサイクルの早い段階で pkr_mtsi の侵入チェーンを中断し、アクティブなインシデントをより効率的かつ自信を持って調査することができます。」
翻訳元: https://www.infosecurity-magazine.com/news/malware-loader-pkrmtsi-payloads/
