大規模なマルウェアキャンペーンが、偽のソフトウェアダウンロードを悪用し、ユーザーに暗号資産マイナー、情報窃取ツール、リモートアクセスツール、その他のペイロードを感染させている。
McAfee Labsの研究者は、2026年1月に人々がオンラインでよく検索する人気ツールを装った443個の悪意あるZIPファイルを発見した。
これらの餌は、AI画像生成ツール、ボイスチェンジャー、株取引ツール、ゲームMOD、ハック、ドライバー、VPN、エミュレーター、さらには偽のデクリプタなど、広い範囲に及んでいた。
このキャンペーンはスケーラビリティを想定して構築されている。McAfeeは100以上のアクティブな配信URLを発見し、その多くはDiscord、SourceForge、MediaFire、FOSSHub、mydofiles[.]comなどの信頼されたプラットフォームとファイルホスティングサービスでホストされていた。
この広範な配布により、攻撃者は通常のダウンロードトラフィックに紛れながら、できるだけ多くの被害者に到達できる。
攻撃は通常、ユーザーが有用なプログラムを含むと思われるZIPアーカイブをダウンロードすることで始まる。
内部には、メインの実行ファイルが正当に見えるが、WinUpdateHelper.dllという悪意あるファイルをロードする。McAfeeはこのキャンペーン全体で48個のユニークなバリアントのDLLを特定し、2024年12月以降このような関連アクティビティを追跡していると述べた。
起動すると、マルウェアは重要な依存関係が不足していると主張する偽のメッセージを表示する。その後、ユーザーはファイルホスティングページにリダイレクトされ、無関係なソフトウェアをダウンロードするように騙される。
このステップは気を散らすことの役割を果たす。バックグラウンドでは、DLLはすでにコマンド・アンド・コントロールサーバーに接続し、悪意あるPowerShellスクリプトを起動している。
そのスクリプトはコインマイナーをインストールするか、SalatStealerやMesh Agentなどの他のペイロードを取得できる。
McAfeeは、マイニングアクティビティがRavencoin、Zephyr、Monero、Bitcoin Gold、Ergo、Cloreなどの暗号資産を標的にしていると述べた。
場合によっては、マルウェアは利益を最大化するためにCPUとGPUリソースの両方を悪用する。
注目すべき点の1つはPowerShellコードのスタイルである。研究者は説明的なコメントときちんと構造化されたセクションを発見し、これは一部がラージランゲージモデルで生成されたことを強く示唆している。
いくつかのスクリプトでは、コメントは研究者が「バイブ・コーディング」と呼ぶものを指す、洗練された攻撃者コードというより開発者の指示のように読まれている。
このキャンペーンは分析対策の手口も使用している。一部のペイロードサーバーはPowerShellベースのリクエストにのみ応答し、ダウンロードリンクは約60秒間だけアクティブなままである。
マルウェアはまた、「Microsoft Console Host」など害のないように見えるサービス名を使用して永続性を作成し、Windows Defender除外を追加してC:\ProgramDataにドロップされたファイルを隠す。
実際の金額はより高い可能性があり、これはマイニングの多くが追跡が難しいプライバシー重視型コインを標的にしているためである。
このキャンペーンは、マルウェアを開発・配布することがいかに簡単かを示している。AI支援コード作成、安価なホスティング、よく知られたソフトウェア餌により、攻撃者は日常的なユーザーを規模で標的にする低労力・大量操作を構築できる。
翻訳元: https://cyberpress.org/fake-tools-spread-malware/