新たに観測されたマルウェアキャンペーンは、PureHVNC リモートアクセストロイ(RAT)を配布するために Google Forms などの信頼されたプラットフォームを活用しており、攻撃者が感染を開始する方法の転換を示しています。
従来のフィッシングメールや悪意のあるウェブサイトに頼るのではなく、脅威アクターは求人面接、プロジェクト提案、財務文書などのビジネスを装ったおとりを使用して、被害者をマルウェアのダウンロードに誘導しています。
攻撃は、金融、物流、技術など様々な分野の有名企業になりすました、一見して合法的な Google フォームから始まります。
これらのフォームは通常、職務経歴や経歴などの専門的な詳細情報を要求し、実際の採用またはパートナーシップのワークフローを模倣しています。
その後、被害者は Dropbox、filedn.com、fshare.vn などのファイル共有プラットフォームでホストされている ZIP アーカイブをダウンロードするよう指示され、しばしば URL 短縮機や Google リダイレクトリンクの背後に隠されています。
ZIP ファイルには「Project_Information_Summary_2026.zip」や「Company_Project_Interview_Materials.zip」など、ビジネス上の文脈に関連する説得力のある名前が付いています。
内部では、被害者は通常、PDF などの正当に見える文書と、DLL ハイジャックを介して感染チェーンをトリガーするために使用されている msimg32.dll という名前の悪意のある実行可能ファイルおよび DLL ファイルの組み合わせを見つけます。
フォームは説得力があり、実際の企業名、ロゴ、リンクになりすまします。LinkedIn は、これらの悪意のあるフォームへのリンクを送信するために使用されるプラットフォームの 1 つです。
レポートによると、PureHVNC は「Pure」マルウェアファミリーからのモジュール型 .NET RAT です。簡単に言えば、攻撃者に感染したデバイスへの遠隔制御を与え、機密情報を盗むことができます。
多段階感染チェーン分析
実行されると、悪意のある DLL は、検出を回避し、永続性を確立するために設計された多段階プロセスを開始します。
マルウェアは、シンプルな XOR キー(「4B」)を使用して埋め込まれた文字列を復号化し、IsDebuggerPresent() や time64() などの関数を使用して反分析チェックを実行します。デバッグが検出された場合、偽のエラーメッセージで実行を中止します。
その後、マルウェアは自分自身を削除し、ユーザーを気をそらすためにおとり PDF を起動し、Windows レジストリキー CurrentVersion\Run\Miroupdate を通じて永続性を作成します。
これは「final.zip」という名前のセカンダリアーカイブを tar などのコマンドラインツールを使用して ProgramData の下にランダムに生成されたディレクトリに抽出します。
このアーカイブ内には、難読化されたスクリプト(config.log や image.mp3 などのファイルに偽装されることが多い)を含む Python ベースのコンポーネントがあります。
このスクリプトは pythonw.exe を介して実行され、最終的に Donut シェルコードを復号化して実行し、最終的なペイロード展開につながります。
最終段階では、PureHVNC を SearchUI.exe などの正規プロセスに挿入することが含まれます。有効になると、RAT は攻撃者に侵害されたシステムの完全な遠隔制御を付与します。
WMI クエリを使用して、ウイルス対策ステータス、オペレーティングシステムの詳細、接続されたイメージングデバイスなど、広範なシステム情報を収集します。
PureHVNC はまた、ブラウザ、拡張機能、暗号通貨ウォレットをターゲットにしたデータ流出を実行し、Telegram や Foxmail などのアプリケーションも対象にします。モジュール型プラグインをサポートしており、攻撃者は必要に応じて機能を拡張できます。
永続性は、昇格された権限で実行されることが多い Base64 エンコードされた PowerShell コマンドを介して作成されたスケジュール済みタスクを通じてさらに強化されます。
軽減策
このキャンペーンを特に効果的にしているのは、信頼されたプラットフォームの悪用です。Google フォーム、LinkedIn、および正規のファイルホスティングサービスを使用することにより、攻撃者はユーザーの信頼を活用し、従来のセキュリティフィルターをバイパスします。
マルウェアは、IP アドレス 207.148.66.14 でコマンドアンドコントロールサーバーと通信し、ポート 56001~56003 を使用します。構成データは Base64 を使用してエンコードされ、GZIP で圧縮され、ミューテックス名「Rluukgz」やキャンペーン ID「Default」などの識別子が含まれます。
実際の企業ブランディングと関連するビジネスコンテンツを含めることで、信頼性がさらに向上します。
ユーザーと組織は、一見した求人提案またはプロジェクトリクエストに注意する必要があります。
不慣れな Google フォームからファイルをダウンロードしたり、短縮 URL をクリックしたりしないでください。常に公式な企業チャネルを通じてこのようなリクエストの正当性を確認してください。
このキャンペーンは、攻撃者が配信メカニズムをどのように進化させているかを強調しており、マルウェアの高度さから初期アクセスを実現するために、信頼されたプラットフォームとソーシャルエンジニアリングに焦点を移しています。
翻訳元: https://gbhackers.com/google-forms-job-scam/
