サイバーセキュリティ研究者は、偽のTelegramダウンロードウェブサイトを通じてマルウェアを拡散する悪質なキャンペーンを特定しました。
タイポスクワッティングドメインのtelegram [.]comにホストされているこのサイトは、公式Telegramダウンロードポータルになりすまし、正当なソフトウェアを装った悪質なインストーラーをユーザーにインストールさせます。
このウェブサイトはTelegramの公式ページに非常に似ており、ユーザーにtsetup-x64.6.exeという名前のWindowsインストーラーのダウンロードをすすめます。ファイル名はTelegramの通常のインストーラー命名規約に従っているため、多くのユーザーは安全にインストールできると仮定するかもしれません。
しかし、さらなる分析により、このファイルは検出を回避し、侵害されたシステムへの長期的なアクセスを確立するために設計されたマルチステージのマルウェア感染チェーンを起動することが明らかになりました。
感染は、ユーザーが偽のTelegramウェブサイトにアクセスして悪質なインストーラーをダウンロードするときに始まります。実行後、インストーラーは悪質な動作を示す一連の疑わしいアクションを実行します。
最初のアクティビティの1つはプロセス列挙です。マルウェアはcmd.exeを介してコマンドを実行して、実行中のプロセスをチェックし、特定のアプリケーションを検索します。
特に、0tray.exeという名前のプロセスを探しており、これはセキュリティソフトウェアまたは以前の感染の存在を示す可能性があります。
マルウェアはWindows Defender設定を変更してシステム防御を弱める試みます。すべてのシステムドライブをDefenderの除外リストに追加するPowerShellコマンドを実行します。
このアクションにより、それらのドライブのアンチウイルススキャンが事実上オフになり、マルウェアが検出されずに動作することが可能になります。
ファイルをステージングした後、マルウェアはrundll32.exeを使用して悪質なDLLを実行します。これはDLLコンポーネントを実行するために一般的に使用される正当なWindowsユーティリティです。AutoRecoverDat.dllという名前のDLLには、最終的なマルウェアペイロードをロードするコードが含まれています。
ペイロードをDLLに直接保存する代わりに、マルウェアはGPUCache.xmlという名前のXMLファイル内にエンコードされたペイロードを隠しています。DLLはこのXMLファイルを読み取り、埋め込まれたバイナリデータを抽出し、実行時にポータブル実行可能ファイル(PE)ペイロードを再構成します。
ペイロードがメモリで実行されると、マルウェアはそのコマンドアンドコントロール(C2)インフラストラクチャに接続します。研究者は、ドメインに関連付けられたポート18852でIP 27.50.59.77に接続するネットワークトラフィックを観察しました。
このk7computing接続を通じて、攻撃者はコマンドを送信し、更新されたペイロードをダウンロードし、感染したシステムとの永続的な通信を維持できます。
ネットワーク分析はまた、マルウェアがC2サーバーから定期的に更新されたコンポーネントを取得し、攻撃者が元のインストーラーを再配布することなくマルウェアを変更できることを示しました。
このキャンペーンは、攻撃者がタイポスクワッティングされたウェブサイトと正当なWindowsユーティリティを使用してセキュリティ検出を回避する方法を示しています。
ソーシャルエンジニアリング、メモリ内実行、およびリモートコマンドアンドコントロールインフラストラクチャを組み合わせることにより、マルウェアは感染したシステムに対する秘密裏の制御を維持しています。
セキュリティ専門家は、公式のソースからのみソフトウェアをダウンロードし、悪質なドメインと疑わしい動作を検出できるセキュリティソリューションを使用することをお勧めしています。
翻訳元: https://cyberpress.org/fake-telegram-site-malware/