BoryptGrabと呼ばれる新しいWindowsステーラーが、無料ツール、ゲームチート、人気のあるユーティリティを装った偽のGitHubリポジトリを悪用する大規模な継続中のキャンペーンを通じて配布されています。
このマルウェアは、ブラウザデータ、仮想通貨ウォレット情報、システム詳細情報の盗難に焦点を当てており、スクリーンショット、共通ファイル、Telegramデータ、Discordトークン、保存されたパスワードも奪取します。
攻撃者は、SEOに最適化されたREADMEを使用して100以上のパブリックGitHubリポジトリを作成し、検索エンジンが正規のプロジェクトの近くにそれらをランク付けするようにしています。
これらのリポジトリは、「Voicemod Proダウンロードツール」、「Valorantパフォーマンスブースト」、「CS2スキンチェンジャー」、および他の不正コピーまたはチート形式のツールなどのアイテムをアドバタイズしており、「github-io」が有無を問わずZIPファイル名に含まれることがあり、信頼性を示すために表示されます。
被害者がREADMEリンクをフォローすると、ロシア語のコメントとBase64/AESベースのURLリダイレクトロジックを含むGitHubホストページを通じてリダイレクトされ、最終的にマルウェア入りのZIPアーカイブを動的に生成する偽のGitHubダウンロードページにたどり着きます。
リポジトリコミットに基づいて、このキャンペーンは少なくとも2025年4月にさかのぼり、2025年後半に見られたZIPサンプルは、短期間の操作ではなく、アクティブで成熟した生態系を示唆しています。
ZIP内では、DLLサイドローディングチェーンまたはVBS/PowerShellダウンローダーのいずれかで感染を開始できます。攻撃者が管理するインフラストラクチャからランチャー実行可能ファイルをプルします。
これらのランチャーは頻繁にポート5466上のサーバーと通信し、Shrek、Leon、CryptoByte、Sonic、またはYaropolkなどの「ビルド名」を渡して、特定のペイロードをリクエストし、感染ブランチを追跡できます。
BoryptGrabマルウェア
1つのルートでは、実行可能ファイルが悪意あるlibcurl.dllをサイドロードし、XOR プラス AES-CBCを使用して埋め込まれたランチャーペイロードを復号化してから実行し、メインのBoryptGrabステーラーとオプションの追加ペイロードをダウンロードします。
PowerShellコマンドをデコードするVBSスクリプト、Microsoft Defender除外を追加し、C/C++ランチャーをフェッチします。これはHTTP経由でBoryptGrabを取得します。
追加のバリアントは、Base64エンコードされたVBSダウンローダーを埋め込む.NETスタブを採用するか、HeaconLoadと呼ばれるGolangベースのダウンローダーをZIP内に直接含めます。
HeaconLoadはレジストリキーとスケジュールされたタスクを介して永続化し、ポート8088でHTTP POSTを使用して、システム情報とハードコードされたタグを使用して攻撃者にビーコンを送信し、指示を受けるとバンドルをダウンロードして解凍し、内部の最初のバイナリを実行します。
インフラストラクチャは、/api/custom_exe?build={BUILD_NAME}エンドポイント経由でXOR暗号化文字列、不透明な述語、動的API解決を使用して分析を妨害しながら、VidarスタイルのHTTP POSTトラフィックでデータを流出させる、難読化されたVidarステーラーバリアントを配信することもできます。
特定のチェーンはさらにTunnesshClientを展開します。これはPyInstallerでパックされたバックドアで、攻撃者サーバーへのリバースSSHトンネルを確立します。
TunnesshClientはまずHTTP経由でチャレンジと認証情報をリクエストし、SSHキーを導出してからリモートポートフォワーディングをセットアップし、攻撃者はコマンドを実行し、ファイルを一覧表示・流出させ、データをアップロードするか、被害者をSOCKS5プロキシとして使用できます。
別のバリアントは代わりに被害者上でローカルSSHサーバーをスピンアップし、認証情報をオペレーターに転送し、その後侵害されたホストを通じてトラフィックをピボットできます。
BoryptGrabが盗むもの、そしてそれが重要な理由
BoryptGrab自体は、C/C++情報ステーラーで、アンチVMและアンチ分析チェック機能を備え、レジストリキー、VM成果物、プロセス名を検査して進行します。
URLは私たちが特定したGitHubリポジトリによって異なり、同様のロシア語のコメントとURL取得ロジックもこのキャンペーン用に見つけた他のGitHubリポジトリに存在していました。
–output-pathなどのコマンドライン引数をサポートして、戦利品を保存する場所を制御し、値が提供されていないときに–build-nameで各感染にタグを付けるか、デフォルトまたはハードコードされた識別子(例えばCryptoByte、Shrek、Sonic、Yaropolk等)にフォールバックします。
ステーラーはブラウザ認証情報の盗難に大きく焦点を当てており、Chrome、Edge、Firefox、Opera、Brave、Vivaldi、Yandexなどをターゲットにしており、Chrome App-Bound Encryptionをバイパスして保存されたパスワードを復号化するパブリックGitHubプロジェクトからのコードを統合しています。
暗号化された内部ペイロード(PAYLOAD_DLL)をロードして、ブラウザデータ抽出を処理し、インストールされたアプリケーションをハードコードされたタイムスタンプとともにログに記録します。
仮想通貨の場合、BoryptGrabはディレクトリを多くの人気デスクトップウォレットと拡張機能(Exodus、Electrum、Ledger Live、Atomic、Binance、Wasabi、Trezor、その他多数を含む)をサーチし、ウォレットファイルを収集してスクリーンショットをキャプチャし、システム情報を収集します。
認証情報とウォレット以外に、BoryptGrabは「Filegraber」モジュールを実行して共通フォルダから特定の拡張子を持つファイルを収集し、Telegramデータを盗み、新しいビルドではアカウント乗っ取りの機会を拡大するためにDiscordトークンもキャプチャします。
最後に、収集されたすべてのデータを圧縮して攻撃者のサーバーにアップロードします。いくつかのバリアントでは、TunnesshClientをプルしてランチして、暗号化されたSSHトンネルを介した長期的なリモートアクセスを確立します。
複数のマルウェアコンポーネントで観察されたロシア語のコメントとログ文字列、さらにロシアに位置するIPアドレスは、このキャンペーンの背後にあるロシア語を話す脅威アクターの可能性を示唆していますが、正式な属性付けは依然として未確認のままです。
ディフェンダーにとって、SEO汚染されたGitHubリポジトリ、階層化されたダウンローダー、複数のステーラー、SSHベースのバックドアの組み合わせは、「無料」の開発ツールとチートユーティリティを高リスクとして扱う必要性、アプリケーション制御を実施し、この進化する脅威に関連する疑わしいパターンについてアウトバウンドHTTPおよびSSHトラフィックを密接に監視する必要性を強調しています。
翻訳元: https://gbhackers.com/boryptgrab-malware/
