Malware-as-a-Service (MaaS) として販売される VIP Keylogger バリアント配布の大規模なスピア・フィッシングキャンペーン。
このキャンペーンはステガノグラフィー、メモリ内実行、モジュール型ペイロード設計を採用して防御を回避しながら、ブラウザー、メールクライアント、およびコラボレーションツール全体から認証情報を収集します。
研究者は、被害者に添付されたRARファイルを開くよう促す詐欺的な発注メールを観察しました。
圧縮アーカイブにはスプレッドシートに偽装された実行ファイル – ÜRÜN ÇİZİMİ VE TEKNİK ÖZELLİKLERİ_xlsx.exe が含まれていました。実行されると、ファイルはディスクにコンポーネントをドロップせずに VIP_Keylogger をメモリに直接ロードし、検出が大幅に難しくなります。
VirusTotal テレメトリーは、異なる国の被害者をターゲットにしたこのキャンペーンの複数のサンプルを明らかにしました。
VirusTotal にアップロードされた悪意のあるサンプルへの最近の調査は、VIP Keylogger を配布する大規模なスピア・フィッシングキャンペーンを発見しました。
ソーシャルエンジニアリングの誘いやパッケージングレイアウトは異なりますが、コアペイロードの動作とメモリ内実行スタイルは一貫していました。
MaaS VIP Keylogger キャンペーン
最初に観察されたケースでは、マルウェアはステガノグラフィーを使用してリソースセクション内に隠された 2 つの DLL を含む .NET ポータブル実行可能ファイル (PE) でした。
最初の DLL (Turboboost.dll) は 2 番目の DLL (Vertical bars.dll) を抽出しました。これは最終的なペイロードを暗号化された PNG ファイルとして隠していました。
マルウェアは、Kernel32.dll および Ntdll.dll から CreateProcessA、VirtualAllocEx、WriteProcessMemory、および ResumeThread などの関数を動的に取得して VIP_Keylogger をアンパックしました。これはプロセスホローイングの典型的な指標です。
別のサンプルでは、悪意のある PE は .data セクション内に AES 暗号化バイトが含まれていました。
これらをメモリ内で復号化した後、ローダーは CLR ランタイム経由でキーロガーを実行する前に、Windows AMSI (マルウェア対策スキャン インターフェイス) および ETW (Windows イベント トレーシング) を無効にしました。
VIP_Keylogger サンプルはMaaS (Malware-as-a-Service) 配布モデルを示唆しており、一部のクライアント カスタマイズ版は Anti-VM 検出、プロセス キラー、ダウンローダー モジュールなどの特定の機能が不足しています。
認証情報盗難機能
アクティブになると、キーロガーは Chrome、Brave、Vivaldi、Opera を含む 40 以上の Chromium ベースのブラウザーから認証情報、ブラウザー Cookie、フォーム自動入力、保存されたペイメント データを盗み、SQLite データベース ファイルに保存します。
AES-256 GCM 暗号化を使用するブラウザー (“V10” マーカー) の場合、マスター キーを抽出し、Windows DPAPI 経由でパスワードを復号化します。
Firefox、Waterfox、Thunderbird などの Mozilla ベースのブラウザーの場合、nss3.dll の PK11SDR_Decrypt を利用して保存されたログインを取得します。
スティーラーは、Outlook (レジストリ検査経由)、Foxmail、Thunderbird プロファイル データから電子メール認証情報を収集し、Windows Unprotect API または PK11SDR メカニズムを使用してパスワードを復号化します。
さらに、マルウェアはDiscord トークンを収集し、recentservers.xml および accounts.xml などのプレーンテキスト構成ファイルを解析して FileZilla サーバー認証情報および Pidgin チャット アカウントを収集します。
盗まれた情報は、複数のチャネル FTP、Telegram、Discord、Web POST リクエスト、特に SMTP 経由で流出します。
分析されたサンプルは、hosting2[.]ro.hostsailor[.]com を使用してポート 587 経由で logs@gtpv[.]online から log@gtpv[.]online に盗まれた認証情報を送信していることが判明しました。
クリップボード キャプチャ、スクリーンショット、Wi-Fi 認証情報盗難のモジュールがあるにもかかわらず、これらの機能は観察されたサンプルでは休止していました。
このキャンペーンは、ステルスなソーシャルエンジニアリングとメモリ内実行がいかに強力な MaaS キーロガーをマスクできるかを強調しています。
組織は、信頼できるエンドポイント保護ソリューションの展開、ヒューリスティック スキャンの有効化、および注文または請求書添付ファイルに偽装されたフィッシング メールを認識するようユーザーをトレーニングすることが求められています。
IOCs
| ハッシュ | 検出名 |
| D1DF5D64C430B79F7E0E382521E96A14 | Trojan ( 700000211 ) |
| E7C42F2D0FF38F1B9F51DC5D745418F5 | Trojan ( 006d73c21 ) |
| EA72845A790DA66A7870DA4DA8924EB3 | Trojan ( 005d5f371 ) |
| 694C313B660123F393332C2F0F7072B5 | Spyware ( 004bf6371 ) |
翻訳元: https://gbhackers.com/maas-vip-keylogger-campaign/
