脅威研究者は、GoogleフォームをPureHVNCリモートアクセストロイの木馬(RAT)の配布に悪用する新しいマルウェアキャンペーンを特定しました。
攻撃者は、従来のフィッシングメールや悪質なランディングページに頼る代わりに、Googleフォーム、Dropbox、LinkedInなどの正当なサービスに対する固有の信頼を利用して攻撃を開始しています。
求人面接、プロジェクト概要、財務文書などのビジネス関連の誘い文句を使用することにより、脅威アクターは専門家を騙して危険なマルチステージペイロードをダウンロードさせることに成功しています。
攻撃は、被害者がLinkedInなどの専門的なネットワーキングプラットフォームで共有されたリンク経由で、不正なGoogleフォームに誘導されるときに始まります。
これらのフォームは、金融、技術、物流、エネルギー部門の有名企業になりすまし、背景と経験などの専門的な詳細を提出するようユーザーに求めます。
このフォームは最終的に、ファイル共有プラットフォーム上でホストされているか、最終的な宛先を隠すためにURLショートナーの背後に隠されたZIPアーカイブへのリンクを提供します。
疑いを避けるために、ZIPファイルには「Project_Information_Summary_2026.zip」または「Company_and_Job_Overview.pdf.rar」などのビジネステーマの名前が付けられています。
ダウンロードされると、アーカイブはマルチステージの感染プロセスを明かします。通常、正当なデコイドキュメント、実行可能ファイル、および悪質なDLLファイル(多くの場合msimg32.dllという名前)が含まれています。
被害者が実行ファイルを実行すると、正当なプログラムを悪質なコードをロードするようにだますDLLハイジャック技術がトリガーされます。
DLLは、単純なXOR暗号を使用した文字列の復号化およびデバッグ環境のチェックを含む、いくつかの回避操作を実行します。DLLはいくつかの回避操作を実行します。
検出を回避した場合、Windowsレジストリを通じて初期の永続性を確立しながら、正当性の幻想を維持するためにデコイPDFをドロップします。
PureHVNCは、完全なシステム制御とデータ窃盗用に設計された、モジュール化された高い.NET RATです。
インジェクションされたら、マルウェアはWindows Management Instrumentation (WMI)クエリを使用して感染したデバイスをプロファイリングし、インストールされたアンチウイルス製品、オペレーティングシステムのバージョン、およびハードウェアの詳細をチェックします。
base64エンコードされたPowerShellコマンドを通じて最高の権限で実行されるスケジュール済みタスクを作成することにより、深い永続性を確立します。
マルウェアは、base64にエンコードされ、GZIPで圧縮された構成を使用してコマンドアンドコントロール(C2)サーバーと通信し、攻撃者がリモートコマンドを送信し、盗まれたデータをシームレスに抽出できるようにします。
これらの脅威から保護するために、プロフェッショナルは公式の企業チャネルを通じて採用要請を検証し、検証されていないGoogleフォームからの添付ファイルのダウンロードを避けるべきです。以下は、このキャンペーンに関連する既知の侵害の指標(IOC)です。
翻訳元: https://cyberpress.org/google-forms-spreads-purehvnc/