「バイブコーディング」はバズワードから戦場へと進化し、新しいマルウェアキャンペーンがいかに攻撃者がAI支援開発を悪用して、最小限の労力で作業をスケーリングしているかを示しています。
バイブコーディングは、2025年初頭に大規模言語モデルにプロンプトを入力することでプログラミングを行い、手動でコードを記述しないという概念を説明するために普及した用語です。開発者コミュニティとソーシャルメディア全体で急速に広がっています。
このワークフローでは、ユーザーが自然言語で意図を説明し、LLMに完全で実行可能なコードと説明を生成させます。
McAfee Labsはバイブコード化マルウェアキャンペーンを発見し、AIツール、ゲームMOD、ドライバ、ユーティリティの人気を悪用して、被害者のシステムを暗号マイニングおよびマルウェア配信プラットフォームに静かに変えていることが明かになりました。
McAfee Labsはこの低摩擦開発モデルが脅威アクターによって採用されており、彼らはLLMを使用してキルチェーンの重要な部分を生成または改良し、新しいキャンペーンをスケールで起動するのに必要なスキルと時間を削減していると報告しています。
バイブコード化マルウェア
2026年1月、McAfeeはAI画像・音声ツール、VPN、ドライバ、ゲームチート、Modding ユーティリティ、さらには「復号化ツール」やスティーラーマルウェアなど、幅広いソフトウェアに偽装した440以上の悪意あるZIPアーカイブを観察しました。
これらのアーカイブはDiscord、SourceForge、FOSSHub、MediaFireなどの人気があるコンテンツ配信およびファイル共有プラットフォーム、そしてmydofiles[.]comのようなあまり知られていないサイトでホストされており、この作戦は広いリーチと正当性の見た目を与えています。
各ZIPには通常、きれいに見える実行ファイルと悪意あるWinUpdateHelper.dllライブラリがバンドルされており、McAfeeは2024年後半以降、少なくとも48の異なるバリアントを追跡しています。
被害者が トロイの木馬化された実行ファイルを起動すると、WinUpdateHelper.dllが必要な「依存関係」が見つからないのに気付かせ、ブラウザを開いて追加の関連のないソフトウェアをダウンロードさせます。
この騒々しいおとりインストールは注意を逸らし、一方DLLは静かにコマンド・アンド・コントロール(C2)サーバに接続して、悪意あるPowerShellペイロードをメモリ内で実行し、明らかなディスク上のインジケータを回避します。
永続性を維持するため、DLLは「Microsoft Console Host」という名前のWindowsサービスを作成し、ブート時に起動して、Unixタイムスタンプを使用して時間ベースのC2ドメインを生成するPowerShellコマンドを起動するように設定されます。
1765000000[.]xyzまたは1770000000[.]xyzなどの結果のドメインは、ほぼ58日ごとに変更され、静的なブロッキングを複雑にします。
ユーザーがDiscordまたは他のウェブサイトからZIPアーカイブをダウンロードすると、以下のセットのファイルを取得します。
そこから、スクリプトはマイナーバイナリをC:\ProgramData\fontdrvhost.exeおよびRuntimeBroker.exeなどのパスにダウンロードして復号化し、正当なシステムプロセスに偽装します。
2段階のPowerShellスクリプトは競合するマイナーおよび永続性アーティファクトを無効にし、C:\ProgramDataをWindows Defender除外リストに追加し、その後、約1分で期限切れになる被害者固有の短命URLからコインマイナーペイロードを取得します。
McAfeeはZephyrやRavencoinなどのプライバシーコイン のCPUベースのマイニングと、solo-zeph.2miners.comやsolo-rvn.2miners.comなどのマイニングプールを経由したRavencoinのGPUベースのマイニングの同時実行を観察し、感染したマシン上のリソース使用率を最大化しています。
一部のバリアントでは、最終ペイロードはマイナーからSalatStealerなどのスティーラーまたはリモートアクセスコンポーネントに切り替わり、オペレータの収益化オプションを拡大しています。
このキャンペーンで使用されるPowerShellは、「GitHubのURLからcvtres.exeをダウンロード」や、フォルダ作成とプロセス隠蔽の複数行の説明など、各ステップを平文で説明する詳細でチュートリアルスタイルのコメントが目立ちます。
McAfeeはこの構造が大規模言語モデルによって生成または大きく支援されたスクリプトと一致していると評価しており、攻撃者がAIに完全なスクリプトを促し、その後わずかに適応する「バイブコーディング」アプローチと一致しています。
Dependecycore.zipはセットアップファイルです。実行時に、それは無関係な第三者製ソフトウェアを被害者のシステムにインストール します。
C2インフラストラクチャはPowerShellユーザーエージェントを持つリクエストにのみペイロードを提供し、curlやブラウザなどのツールに対して301または404レスポンスを返すことで、さらに分析に抵抗し、研究者がその後サンプルを取得しにくくしています。
財務的影響とユーザーリスク
マイナー設定にハードコードされた暗号通貨ウォレットアドレスにより、McAfeeはこのオペレーションに関連するビットコインフローをトレースすることができました。
マイニングの大部分がMonero、Zephyr、Ravencoinなどのプライバシー重視資産を対象にしており、これらのチェーンは分析が困難ですが、McAfeeはキャンペーンにリンクされた少なくとも7つのビットコインウォレットを特定し、報告時に約4,500米ドルを保有し、約11,500米ドルの総流入を処理していました。
繰り返しになりますが、「fontdrvhost.exe」という名前は正当なWindowsバイナリに模倣して、その真の意図を偽装しています。ダウンロード後、ファイルは単純な算術復号化ルーチンを使用して復号化されます。
マルチコインプールがマイニングされた代替コインをビットコインに変換して支払うため、真の利益と被害者への影響は、オンチェーンで見える以上に高い可能性があります。
テレメトリは、キャンペーンが米国で最も蔓延しており、その次に英国、インド、ブラジル、フランス、カナダ、オーストラリアが続き、なりすまし誘い文句であるAIユーティリティおよびゲーム修正のグローバルな人気を反映していることを示しています。
McAfeeは、亀裂、チート、またはスティーラーマルウェアを意図的に求めているユーザーさえも、より能力のあるアクターに背後から刺されていることを警告し、「泥棒の間には名誉がない」と強調しています。
McAfeeはユーザーが公式のベンダーサイトからのみソフトウェアをダウンロードすることを推奨し、ソーシャルチャネルや一般的なファイルホスティングリンク経由で宣伝される「話が良すぎて信じられない」ツールやチートに懐疑的であり、DLLサイドローディングと異常なPowerShellアクティビティの両方を検出するためにセキュリティソリューションを最新のものに保つことです。
組織は異常なマイナートラフィック、時間ベースの.xyzドメイン、Windows Defender除外の変更、およびネイティブのWindowsコンポーネントに偽装した疑わしいサービスを監視する必要があります。
McAfee Labsは、これらのバイブコード化キャンペーンの追跡を継続し、オペレータがAI支援ツール上で反復するにつれて保護を更新すると述べています。
翻訳元: https://gbhackers.com/vibe-coded-malware/
