WhatsAppメッセージを悪用して悪意のあるVisual Basic Script(VBS)ファイルをWindowsユーザーに配信し、署名されていないMSIインストーラー経由で永続的なリモートアクセスを実現する新しいマルウェアキャンペーン。
キャンペーンはVBS添付ファイルを含むWhatsAppメッセージから始まり、これらは無害に見えますが、Windowsで開かれるとスクリプトとして実行されます。
起動後、初期スクリプトはC:\ProgramDataの下に隠しフォルダーを作成し、curl.exeやbitsadmin.exeなどの正当なWindowsツールをこれらの場所にコピーし、netapi.dllやsc.exeなどの誤解を招くようなファイル名に名前を変更します。
ファイル名は変更されていますが、バイナリは元のPEメタデータを保持しており、OriginalFileNameフィールドを含め、curl.exeおよびbitsadmin.exeと特定されたままです。
Microsoft Defender Experts は2026年2月後半に始まったキャンペーンを観測しており、WhatsAppメッセージを使用して悪意のあるVisual Basic Script(VBS)を配信しています。
ディスク上の名前と埋め込まれたメタデータの間のこのズレは、PEヘッダーを検査するセキュリティ製品にとって実用的な検出フックを提供します。
攻撃者の目的は、永続性を確立し権限を昇格させ、最終的には悪意のあるMSIパッケージを被害者システムにインストールすることです。
そのような検査が制限されている環境では、ディフェンダーは代わりに、これらのユーティリティに関連するコマンドラインの引数およびネットワークテレメトリーを監視して、悪用を識別する必要があります。
WhatsApp攻撃チェーン
名前を変更されたツールを使用して、マルウェアはauxs.vbs、2009.vbs、WinUpdate_KB5034231.vbsなどのセカンダリVBSペイロードを、AWSインフラストラクチャを含む信頼されたクラウドS3、Tencent Cloud、およびBackblaze B2から取得します。
広く使用されているクラウドプラットフォーム経由で悪意のあるダウンロードをトンネリングすることで、オペレータは彼らのトラフィックを通常のエンタープライズアクティビティのように見せ、単純なドメインまたはIPベースのブロッキングを複雑にします。
このステージは、攻撃者が正当なクラウドサービスをドロッパーおよびコマンドアンドコントロールリソースをホストするために武器化するというより広いトレンドを反映しており、組織がビジネスクリティカルなプラットフォームを積極的にフィルタリングすることに抵抗があるかのように賭けています。
ランドオフザランドバイナリ(LOLBins)および評判の良いプロバイダーの活用は、特に未知のバイナリまたは明らかなマルウェアファミリーに主に焦点を当てている環境では、攻撃の動作プロファイルを大幅に低下させます。
足がかりを確立した後、セカンダリスクリプトはユーザーアカウント制御(UAC)およびレジストリ設定を改ざんして、昇格された権限と永続性を確保し始めます。
マルウェアは繰り返しcmd.exeを管理者権限で起動しようとし、HKLM\Software\Microsoft\Winの下のレジストリキー(ConsentPromptBehaviorAdminを含む)を修正して、UACプロンプトを抑制し、サイレント昇格を許可します。
レジストリ操作とUACバイパス技術を組み合わせることで、攻撃者はリブートを生き残り、日常的なクリーンアップ活動に抵抗する長期的な管理アクセスを維持することを目的としています。
これらのアクションは、繰り返されるUAC関連のレジストリ変更およびスクリプトホストまたは名前を変更されたWindowsユーティリティから生成された異常な昇格されたコマンドシェルとして検出可能です。
署名されていないMSIバックドア
最終段階では、キャンペーンはSetup.msi、WinRAR.msi、LinkPoint.msi、AnyDesk.msiなどの名前の署名されていないMSIインストーラーをデプロイして、一般的なエンタープライズソフトウェアを模倣します。
信頼されたパブリッシャーシグネチャの欠落は、これらのツール用の正当なインストーラーが通常署名されているため、悪意のある意図の強い指標です。
インストール後、AnyDeskなどのリモートアクセスソリューションにより、脅威アクターは侵害されたホストに対する永続的なインタラクティブコントロールを得ることができ、データ盗難、さらなるマルウェア配備、またはラテラルムーブメントが可能になります。
MSIベースのデプロイメントは管理環境では一般的であるため、コード署名および評判チェックが実行されていない場合、これらのバックドアは標準的なソフトウェアロールアウトアクティビティに容易に溶け込むことができます。
Microsoftは、信頼できない場所のスクリプトホスト(wscript、cscript、mshta)を制限またはブロックし、非定型フラグで実行される名前を変更されたまたは隠しWindowsユーティリティを監視することでエンドポイントを強化することを推奨しています。
クラウド配信保護、ブロックモードのEDR、難読化されたまたはスクリプト起動実行可能ファイルの攻撃表面削減ルール、およびMicrosoft Defender での改ざん保護を有効にすることで、類似のランドオフザランドキャンペーンの成功を大幅に削減できます。
組織はTencent CloudおよびBackblaze B2へのトラフィック検査を強化し、宛先評判のみに依存するのではなく、疑わしいダウンロードパターンを探す必要があります。
ディフェンダーはHKLM\Software\Microsoft\Winの下のレジストリ変更を追跡し、繰り返されるUACの改ざんを潜在的な侵害インジケーターとして検出することを推奨され、また、インテリジェンスが利用可能な既知のコマンドアンドコントロールエンドポイントをブロックする必要があります。
翻訳元: https://gbhackers.com/whatsapp-attack-chain/
