研究者らが、偽のGitHubリポジトリを使用してBoryptGrabというステーラーを拡散する新しいマルウェアキャンペーンを発見しました。
このキャンペーンはGitHubと無料ソフトウェアダウンロードへの信頼を悪用し、ゲームチート、生産性ツール、メディアソフトウェア、ユーティリティアプリになりすまします。
これらのツールを探している被害者は、合法的に見えるパブリックリポジトリに誘導されますが、実際にはZIPアーカイブと段階的なダウンロードページを通じてマルウェアを配信しています。
このキャンペーンは広範で活発に見えます。調査員は、このキャンペーンに関連する100以上のパブリックGitHubリポジトリを発見し、中には2025年にさかのぼるものもありました。
多くは検索エンジンに最適化されたキーワードを使用して検索結果で高くランク付けされ、偽のプロジェクトが本物のソフトウェアの近くに見えるようにしていました。一部のリポジトリページにはロシア語のコメントとコードパターンも含まれており、ロシア語を話す脅威アクターの可能性があります。
攻撃は、ユーザーが有用なプログラムに見えるZIPファイルをダウンロードすることで始まります。場合によっては、アーカイブに隠されたペイロードを起動するためにDLLサイドローディングを使用する実行可能ファイルが含まれています。
その他の場合は、難読化されたPowerShellコマンドを使用して遠隔サーバーからマルウェアを取得するVBSダウンローダーが含まれています。一部の亜種はMicrosoft Defenderの除外を追加しようとし、検出の可能性を低減しています。
そこからマルウェアチェーンは複数のコンポーネントに分岐します。1つのランチャーはBoryptGrabを取得し、その他はVidarステーラーの亜種、HeaconLoadと呼ばれるGoダウンローダー、またはTunnesshClientという名前のPyInstallerバックドアを取得する場合があります。
TunnesshClientはリバースSSHトンネルを作成し、攻撃者がトラフィックを移動し、コマンドを実行し、ファイルを検索し、コンテンツをアップロードし、感染したシステムをSOCKS5プロキシに変えることさえできます。
この層状設計はキャンペーンに柔軟性を与えます。異なる被害者は異なるペイロードを受け取る可能性があり、スケジュールされたタスク、レジストリ永続性、暗号化ダウンロードの使用により調査がより困難になります。
BoryptGrab自体は、大量のデータを収集するように設計されたC/C++ステーラーです。Chrome、Edge、Brave、Opera、Firefox、Vivaldi、Chromium、Yandexを含む主要なブラウザをターゲットにしています。
マルウェアは保存されたパスワード、ブラウザデータ、およびその他のユーザー情報を抽出できます。また、Chrome App Bound暗号化バイパスに関連する公開利用可能なコードを使用しており、攻撃者がオープンソースプロジェクトを悪意のある目的で再利用する方法を示しています。
対象となるウォレットには、Exodus、Electrum、Ledger、Trezor、Atomic、Binance、Wasabi、Bitcoin Core、Ethereum、およびその他多くのものが含まれています。
さらに、BoryptGrabはスクリーンショットをキャプチャし、TelegramおよびDiscordデータを収集し、システム情報を集め、貴重なファイルについて一般的なフォルダを検索できます。
収集後、マルウェアは盗まれたデータを圧縮し、攻撃者が制御するインフラストラクチャにアップロードします。
このキャンペーンは、脅威アクターがSEO悪用、偽のGitHubプロジェクト、モジュールローダー、およびウォレット盗難を組み合わせて、通常のユーザーと暗号通貨保有者の両方を対象とした拡張可能な運営をどのように行っているかを示しています。
翻訳元: https://cyberpress.org/boryptgrab-steals-wallet-data/