25以上の人気アプリケーションになりすましてAsyncRATマルウェアを拡散する積極的なSEOポイズニングキャンペーンが明らかになりました。
NCC Groupが2025年10月から活動している未知の脅威アクターは、検索結果で上位に表示される偽のウェブサイトにアクセスするようにユーザーを騙しています。
これらのサイトは一見正当なソフトウェアダウンロードを提供しており、被害者のマシンにリモートアクセスツールを密かにインストールします。
攻撃者は検索エンジン最適化を使用して悪意のあるウェブサイトの可視性を高めています。これらのサイトは、VLC Media Player、OBS Studio、KMS Tools、CrosshairXなどの有名なソフトウェアになりすましています。
本物に見えるようにするため、ウェブサイトは偽のレビューを使用し、異なる言語用にカスタマイズされています。ユーザーがダウンロードボタンをクリックすると、ランダム化されたダウンロードリンクがZIPアーカイブを提供します。このアーカイブには実際のソフトウェアと隠された悪意のあるファイルが含まれています。
被害者がソフトウェアをインストールすると、DLLサイドローディングと呼ばれる技術がトリガーされます。正当なプログラムが誤って悪意のある隠しファイルをロードします。
このファイルはMicrosoft Installer(MSI)を静かに抽出して実行します。MSIは正当なリモート管理アプリケーションであるScreenConnectをデプロイします。
攻撃者はScreenConnectを隠しバックグラウンドサービスとして実行するように構成し、コンピューターへの完全なリモートアクセスを獲得します。
攻撃者がこの初期アクセスを得ると、ScreenConnectを使用して一連のスクリプトをドロップします。最終的なPowerShellスクリプトがプロセスホロウイングを実行します。これは悪意のあるコードを正当なWindowsプロセスに注入する技術です。
この場合、スクリプトはAsyncRATペイロードをシステムのメモリに直接注入し、最終的な実行可能ファイルをハードドライブに保存する必要をバイパスします。
このファイルレスアプローチにより、従来のアンチウイルスソフトウェアが感染を検出することが非常に難しくなります。
AsyncRATは危険なリモートアクセストロイの木馬であり、攻撃者に侵害されたマシンへの完全な制御を付与します。
このキャンペーンで使用されているバージョンは高度にカスタマイズされています。ユーザーのクリップボードを監視する暗号通貨クリッパーが含まれています。
ユーザーが暗号通貨ウォレットアドレスをコピーすると、マルウェアはそれを攻撃者のアドレスで即座に置き換えます。
これにより攻撃者はデジタル資金を簡単に盗むことができます。興味深いことに、クリッパーには地理的フェンシング機能が含まれており、被害者が中東、北アフリカ、または中央アジアに位置している場合、意図的に機能を停止します。
さらに、このAsyncRATバリアントは動的プラグインシステムを備えています。NCC Group攻撃者は暗号化された接続を通じて新しい悪意のあるモジュールを送信し、コンピューターのメモリ内で直接実行できます。
これは、マルウェアをランサムウェアやデータ盗聴ツールなどの新機能で、いつでも簡単に更新できることを意味します。キャンペーンはセキュリティディフェンダーによってブロックされるのを回避するために、継続的にダウンロードサーバーを変更しています。
翻訳元: https://cyberpress.org/seo-poisoning-spreads-asyncrat/