出典: Grenar via Shutterstock
研究者は、被害ネットワークへの足がかりを得た直後に認証情報を盗むことができる新しいマルウェア株を発見しました。スタンドアロン盗聴プログラムと悪意のあるブラウザ拡張機能を通じて、保存されたブラウザパスワードとリアルタイムのライブキーストロークの両方をキャプチャします。
ReliaQuestによると、このマルウェアが特に封じ込めが難しい理由は、AI生成コードとプロセスインジェクションを使用して検出ツールを回避する可能性があるためです。また、感染したホストが完全にクリーンに見えた後でも、静かに再実行できる永続化メカニズムが組み込まれています。
ClickFixを介したDeepLoadの配信
ReliaQuestが「DeepLoad」として追跡しているマルウェアの作成者は、ClickFixソーシャルエンジニアリング手法を使用して、企業環境で認証情報盗聴プログラムを配布しています。
「DeepLoadは着地した瞬間から認証情報を盗むため、部分的な封じ込めでも、露出されたパスワード、セッション、およびアクティブなアカウントが残される可能性があります」と、ReliaQuestは今週の報告書で警告しています。「メイン攻撃チェーンが完了する前に、スタンドアロン認証情報盗聴プログラムであるfilemanager.exeは既に独自のインフラストラクチャ上で実行されており、メインローダーが検出およびブロックされた場合でもデータを流出させることができます。」
さらに、マルウェアがドロップして登録するブラウザ拡張機能は、ユーザーが入力する際にリアルタイムで認証情報をキャプチャでき、明確に削除されるまでブラウザセッション全体で永続化します。セキュリティベンダーは述べています。
ほとんどのClickFixスキャムと同様に、攻撃チェーンはユーザーが、作り上げられた「エラー」を「修正する」ための一見無害なコマンドを実行するよう求める偽のブラウザプロンプトを受け取ることから始まります。この場合、コマンドはローダーを再実行するためのスケジュール済みタスクを直ちに作成するため、ユーザーが以降何もしなくても、リブート中またはパーシャル検出全体で永続化します。その後、マルウェアは正規のWindowsユーティリティであるmshta.exeを使用して、攻撃者のインフラストラクチャと通信し、大量に難読化されたPowerShellローダーをダウンロードします。
大量のパディングを含むローダー
DeepLoadのReliaQuestの分析では、その機能コードが、静的スキャンツールを圧倒し、フラグを立てるものを残さないように設計されたと思われる数千行のジャンクコードの下に埋もれていることが示されました。ローダーのパディングの圧倒的な量は、人間の作成者によって書かれたのではなく、おそらくAIモデルによって開発されたことを示唆しています。セキュリティベンダーは述べています。
DeepLoadの実際の攻撃ロジック自体は、悪意のあるペイロードをメモリ内で完全にアンパックする短い復号ルーチンです。アンパックされると、ペイロードはLockAppHost.exeに注入されます。これは、ロック画面を管理する正規のWindowsプロセスであり、ほとんどのセキュリティツールは積極的に監視していません。
インジェクションを実行するために、DeepLoadはAdd-Typeと呼ばれるPowerShell機能を使用して、侵害されたコンピュータのTempディレクトリにドロップされる一時的なダイナミックリンクライブラリ(DLL)を生成します。ReliaQuestは、マルウェアがすべての実行で新しくDLLをコンパイルし、特定のファイル名をスキャンするセキュリティツールが一致するものを見つけられないようにするために、ランダム化されたファイル名を割り当てていることを発見しました。マルウェアはまた、独自のトラックをカバーするためにPowerShellコマンド履歴を無効にします。
ReliaQuestが調査したキャンペーンでは、DeepLoadは初回感染後10分以内に接続されたUSBドライブにも拡散しました。セキュリティベンダーは、マルウェアがChrome設定ファイル、Firefoxインストーラー、AnyDeskショートカット、およびその他の馴染みのあるインストーラーに偽装した40以上のファイルを、侵害されたホストのUSBドライブに書き込んでいることを発見しました。
この目的は、ユーザーが偽のインストーラーのいずれかをクリックして、プロセス中に別のマシンに感染させる可能性を最大化することでした。それでも、USB伝播がDeepLoadの組み込み機能であるか、攻撃者がその特定のキャンペーンのために層状化させたものかは不明です。ReliaQuestは述べています。
標準的な修復では不十分
スケジュール済みタスク、一時ファイル、その他の侵害指標(IOC)の削除などの標準的なクリーンアップは、DeepLoad感染を完全に修復するには不十分です。ReliaQuestは述べています。これは、DeepLoadがWindows Management Instrumentation(WMI)内で永続的なトリガーを作成し、ユーザーの相互作用がなくても攻撃を自動的に再実行するためです。ReliQuestが調査したインシデントでは、マルウェアは影響を受けたホストが完全にクリーンされたと見えてから3日間でフルに攻撃を再実行しました。
会社は、DeepLoadの影響を受けた組織が本番環境に戻す前に、影響を受けたホストのWMIイベントサブスクリプションを監査および削除することをお勧めしました。ファイルベースのスキャンではローダーを検出しないため、PowerShellスクリプトブロックログと行動エンドポイント監視を有効にして、悪意のあるアクティビティを探す必要があります。さらに、組織は、保存されたパスワード、アクティブなセッショントークン、感染期間中に使用されていたアカウントなど、侵害されたシステムに関連するすべての認証情報を変更する必要があります。
「AI生成の兆候は、難読化が汎用ノイズから展開される特定の環境に合わせてカスタマイズされたパディングに進化する現実的な確率があり、行動ベースラインを時間とともにより難しくすることを意味しています」と、ReliaQuestは警告しています。「WMIサブスクリプションが修復チェックリストに追加されるにつれて、永続化メカニズムは現在あまり注意を受けていない他の正規のWindowsフィーチャーにシフトする可能性があります。」
