最近発見された認証情報の盗難とブラウザインタラクションの傍受が可能なマルウェアファミリーが、ClickFix技法を使用して配布されており、ReliaQuestが報告しています。
DeepLoadと名付けられたこのマルウェアは、2月初旬にダークウェブのサイバー犯罪フォーラムに初めて登場し、ZeroFoxは「複数の種類のマルウェア用の一元化されたパネル」として広告されているのを発見しました。
この脅威は、暗号通貨ウォレットアプリケーションとブラウザ拡張機能を偽のバージョンに置き換え、被害者の認証情報を盗み、詐欺的なブラウザ拡張機能をインストール可能だと説明されました。
「DeepLoadの設計は、リアルタイムの暗号通貨盗難を積極的に促進することに明確に焦点を当てており、これはサイバー犯罪サービス(CaaS)環境で非常に魅力的なマルウェアスイートになる可能性があります」とZeroFoxは2月に述べています。
現在、ReliaQuestは、悪名高いClickFix技法を通じてWindowsシステムにDeepLoadを配布する初の野生キャンペーンを観測したと述べています。
キャンペーンの一環として、被害者は偽のブラウザエラーメッセージが表示され、偽の問題を解決するためにWindows Runまたはターミナルにコマンドをペーストするよう指示されました。このコマンドにより、DeepLoadをシステムに落とすPowerShellローダーの永続的な実行が引き起こされました。
マルウェアは、Tempディレクトリに落とされたDLLの形で、その場でセカンダリコンポーネントを生成していることが確認されました。実行のたびにコンパイルされ、異なるファイル名で落とされるDLLは、検出を回避しています。
「ローダーはまた、PowerShellコマンド履歴を無効にし、PowerShellの組み込みコマンドに依存せずにWindowsコア関数を直接呼び出すことで、自分の痕跡を消し、最も一般的な監視フックを静かに迂回します」とReliaQuestは指摘しています。
信頼できるWindowsアクティビティに溶け込ませるため、DeepLoadは非同期プロシージャコール(APC)インジェクションを使用して、正規のロック画面管理プロセスLockAppHost.exeの内部に注入されました。
ReliaQuestは、この方法により、注入されたプロセスは通常、セキュリティツールによって監視されず、ペイロードはディスクに書き込まれたデコード済みペイロードなしでメモリで実行されるため、マルウェアは検出を回避できると指摘しています。
DeepLoadは、最初から被害者の認証情報を盗むために設計されており、メインローダーと並行して実行されるスタンドアロンの認証情報盗取プログラムを通じて実行されます。認証情報の流出は、ローダーのコマンドアンドコントロール(C&C)通信からも分離されています。
さらに、マルウェアは詐欺的なブラウザ拡張機能をドロップして、「ユーザーが行うすべてのことを傍受し、アクティブなログインと開いているタブからセッショントークンと保存されたパスワードまで、すべてを危険にさらします」とReliaQuestは指摘しています。
サイバーセキュリティ企業はまた、マルウェアがUSBドライブ経由で拡散しているのも観測しましたが、機能がDeepLoad内に実装されているのか、それともオペレータによってステージングされたのかは判断できませんでした。
翻訳元: https://www.securityweek.com/new-deepload-malware-dropped-in-clickfix-attacks/
