CYJAXは最近、ClickFix攻撃技術を活用して検出を回避し、多段階マルウェアを展開する高度なフィッシングキャンペーン「OCRFix」を発見しました。
このキャンペーンは最初、正規のTesseract OCRツールサイトを装って、タイポスクワッティングドメインを使用してユーザーを騙し、悪意のあるソフトウェアをダウンロードさせていました。
この攻撃は、EtherHidingなどの高度な回避戦術と組み合わせた場合、シンプルなフィッシング技術がいかに高度で持続的な感染につながるかを示しています。
OCRFixボットネットは、人気のある光学文字認識ツールであるTesseract OCRになりすまして、ユーザーを狙ったClickFixフィッシングキャンペーンから始まりました。
CYJAXはtesseract-ocr[.]comの偽造Webサイトを識別し、正規ツールの外観を模倣していました。サイトを訪問したユーザーは、悪意のあるコンテンツを隠すための一般的なClickFixキャンペーン技術である、CAPTCHAを解く必要がありました。
CAPTCHAを完了した後、ユーザーは自動的にクリップボードにコピーされたWindows PowerShellコマンドを実行するよう指示されました。
このコマンドは実行されると攻撃の最初の段階を開始し、PowerShellスクリプトをデコードしてリモートサーバーに接続し、マルウェアをダウンロードして実行することが含まれていました。
opsecdefcloud[.]comでホストされていたマルウェアはMSIファイルで、最初のペイロードをシステムにドロップしました。その後、被害者は正規のTesseract OCRWebサイトにリダイレクトされました。おそらく、侵害が気付かれないようにするためです。
フィッシングページはまた、SEO中毒と悪意のあるGoogle広告を使用して検索結果の表示を増やし、ユーザーをサイトにアクセスさせやすくしていました。
さらに、このサイトは偽のソーシャルメディアアカウントを備えており、正当性を高め、より多くのトラフィックを集めました。
ClickFix技術に加えて、OCRFixボットネットキャンペーンはEtherHidingと呼ばれるユニークな回避技術を採用していました。
この技術は、EthereumやBinance Smart Chain(BNB)などのブロックチェーンにコマンドアンドコントロール(C2)ドメインアドレスを隠すことを伴います。
この場合、マルウェアはBNB Smart Chain TestNetにデプロイされたスマートコントラクトに問い合わせ、隠されたC2ドメインが含まれていました。
EtherHidingを使用することで、攻撃者は検出を回避し、いくつかのドメインが削除されても侵害されたデバイスを制御し続けることができました。
マルウェアはPublicNodeと呼ばれるサービスを使用してこれらのスマートコントラクトと相互作用し、後続のマルウェアステージを提供するために必要なC2アドレスを取得しました。
このオブフュスケーション技術により、防御者がC2インフラストラクチャを追跡することが困難になり、ボットネットの持続性が向上しました。
初期ペイロードが配信されると、OCRFixキャンペーンは多段階感染プロセスを実施しました。最初の段階には、悪意のあるVBScriptコードを実行するVbsEdit Script Launcherと呼ばれるツールが含まれていました。
setup_helper.exeによって配信される第2段階は、スケジュールされたタスクを作成し、BitLockerやWindows Defenderなどのセキュリティ機能をオフにすることで、永続性を確立しました。
最後に、第3段階のCfgHelper.exeはボットリスナーとして機能し、システム情報を収集してボットネットのC2サーバーと通信しました。
マルウェアは定期的にシステム詳細を含むレポートを送信し、C2からタスクを受信しました。これは、脅威アクターが将来の攻撃のための大規模なボットネットを構築することを目指していることを示唆しています。
このケースは、フィッシング検出、ネットワーク監視、PowerShell悪用に対する保護を含む包括的な防御を実装する必要性を強調しています。
さらに、ユーザーをフィッシングおよび他のソーシャルエンジニアリング技術について教育することは、このような高度な攻撃を防ぐために重要です。
翻訳元: https://cyberpress.org/ocrfix-botnet-evades-detection/