新しいマルウェアキャンペーンが、フィッシングメール、隠されたペイロード、メモリのみの実行を通じて、VIPキーロガーを使用して被害者から認証情報を盗んでいます。
攻撃はソーシャルエンジニアリングに依存して、ユーザーを購買発注書のように見えるものを開くようにだまします。ただし、添付ファイルは実際には偽装された実行ファイルを含むRARアーカイブです。
起動されると、マルウェアは最終的なペイロードをメモリに直接ロードし、ディスク上に明らかな痕跡を残すことを避けるのに役立ちます。
研究者は、異なるパッケージング方法と実行フローの軽微な変更を伴う、キャンペーンの複数のバージョンを発見しました。
これらの違いにもかかわらず、目的は変わりません。VIPキーロガーを静かに配信し、ブラウザ、メールクライアント、チャットツール、ファイル転送アプリケーションから機密データを収集することです。
1つのケースでは、最初のステージマルウェアは、ステガノグラフィを介してリソースセクションに隠された2つのDLLを含む.NET実行ファイルでした。
1つのDLLが次のものを抽出し、その後、隠されたPNG画像から最終的なペイロードを引き出しました。ペイロードをデコードした後、マルウェアはWindows APIを使用してプロセスホローを実行しました。
この技術は、正当なプロセスを一時停止モードで開始し、そのメモリイメージを削除し、実行を再開する前に悪意のあるコードに置き換えます。
別のケースでは、マルウェアはより直接的なアプローチを使用しました。実行ファイルは.dataセクションにAES暗号化されたペイロードを保存しました。
メモリで復号化した後、Windowsセキュリティ監視コンポーネントであるAMSIとETWにパッチを当て、CLRを通じてVIPキーロガーをロードしました。これにより、マルウェアは重要な防御チェックをバイパスしながら実行できました。
キャンペーンはマルウェア・アズ・ア・サービス(MaaS)モデルに関連しているようです。研究者は、最終的なペイロード内の一部の機能が無効化されたか、nullに設定されていることに注目し、マルウェアが購入者の需要に応じてカスタマイズされる可能性があることを示唆しています。
また、nss3.dllのPK11SDR_Decrypt APIを使用して、Firefoxベースのブラウザをターゲットにし、ユーザー名とパスワードを復元することもできます。
盗まれたデータは、FTP、SMTP、Telegram、Discord、HTTP POSTを含むいくつかの方法で流出する可能性があります。分析されたサンプルでは、研究者はマルウェアがSMTPポート587を介してメールインフラストラクチャ経由でログを送信していることを発見しました。
キャンペーンは、攻撃者がフィッシングを組み合わせ、ステガノグラフィとファイルレス技術を使用して、検出と調査が難しいスケーラブルな認証情報盗難操作を構築する方法を強調しています。
翻訳元: https://cyberpress.org/vip-keylogger-steals-credentials/