2025年12月、Zscaler ThreatLabzのセキュリティ研究者が、SnappyClientという名前の新しいコマンド・アンド・コントロール(C2)フレームワークインプラントを発見しました。
攻撃者はこの悪質なツールを既知のHijackLoaderマルウェアを使用して配布します。インストールされると、SnappyClientは攻撃者に被害者のマシンに対する広範な制御を提供します。
その機能には、スクリーンショットの撮影、キーストロークの記録、リモートターミナルの開放、ウェブブラウザおよび他のアプリケーションから機密データの盗難が含まれます。
SnappyClientの配置は、欺瞞的なウェブサイトから始まることが多いです。観察されたあるキャンペーンでは、攻撃者は大手通信会社のTeléfonicaのウェブサイトを模倣した偽のウェブサイトを作成しました。
このサイトは、現実的な製品機能とブランディングを表示することで、ドイツ語を話すユーザーを標的にしていました。被害者がそのページを訪れると、HijackLoaderの実行可能ファイルが自動的にシステムにダウンロードされました。
ユーザーがファイルを実行した場合、HijackLoaderはSnappyClientを復号化して起動しました。研究者はまた、SnappyClientがGhostPulseとClickFix侵入チェーンを利用してソーシャルメディアを通じて拡散されていることを観察しました。
セキュリティソフトウェアから隠れるために、SnappyClientは高度な回避トリックを使用します。システムがマルウェアコードをチェックする方法を変更することで、Antimalware Scan Interface(AMSI)をバイパスし、スキャナーにプロセスをクリーンであると報告するよう強制します。
マルウェアは、Heaven’s Gate、直接システムコール、トランザクショナルホローイングなどの手法を使用して、その活動をマスクし、エンドポイント検出システムのトリガーを回避しています。
さらに、セキュリティ研究環境での実行を避けるために、デバイスが「禁止」リストに含まれているかどうかをチェックします。
SnappyClientは、コード内に隠された平文のJSON設定を使用しています。このセットアップファイルは、盗まれたデータを保存する場所やコンピュータの再起動に耐えるための永続性を確立する方法など、マルウェアの基本的なルールを指定します。
アクティブになると、インプラントはC2サーバーに接続して、EventsDBとSoftwareDBの2つの暗号化されたデータベースをダウンロードします。
EventsDBはマルウェアに、特定の条件が満たされたときに実行するアクション(例えば、特定のパターンと一致する場合、クリップボードデータを盗む)を指示します。SoftwareDBは、データ盗難のターゲットとする特定のウェブブラウザおよびアプリケーションのリストを提供します。
マルウェアは、高度にセキュアなカスタムTCPネットワークプロトコルを使用してサーバーと通信します。
すべてのメッセージは圧縮された後、ChaCha20-Poly1305アルゴリズムを使用して暗号化され、防御者がネットワークトラフィックを読むことを防ぎます。マルウェアが最初に接続するときは、詳細な登録メッセージを攻撃者に送信します。
登録後、サーバーはさまざまなコマンドを発行できます。攻撃者はスクリーンショットを取得、実行中のプロセスを管理、または被害者のファイルを探索できます。
翻訳元: https://cyberpress.org/snappyclient-enables-stealth-theft/