Microsoft Defender Expertsのサイバーセキュリティ研究者は、2026年2月下旬に出現した高度な新しいマルウェアキャンペーンを発見しました。
攻撃者はWhatsAppメッセージを悪用して、ユーザーに悪意のある Visual Basic Script (VBS)ファイルをダウンロードさせようとしています。
犯人がファイルをクリックすると、静かで非常に巧妙な感染チェーンが始まります。最終的な目的は、システムの防御を迂回し、永続的なバックドアを確立し、侵害されたコンピュータを完全にリモートコントロールすることです。
攻撃は単純なソーシャルエンジニアリング手法から始まります。WhatsAppメッセージが初期VBSスクリプトを配信し、ユーザーが身近なメッセージングアプリに対して持つ信頼を悪用します。
被害者がスクリプトを開くと、マルウェアは直ちにシステム上に隠しフォルダを作成します。特にC:\ProgramDataディレクトリ内に作成されます。
アンチウイルスアラートを引き起こすのを避けるために、攻撃者は信頼されているWindowsユーティリティの名前を変更したバージョンを配置します。例えば、標準ファイル転送ツールのcurl.exeをnetapi.dllに名前変更し、bitsadmin.exeをsc.exeに偽装します。
これらの名前が変更されたツールは、マルウェアの次の段階をダウンロードするために使用されます。ツール自体が正規のMicrosoftファイルであるため、基本的なセキュリティソフトウェアはそれらを検出できないことがよくあります。しかし、詳しく見てみると、重大な欠陥が明らかになります。
これらのファイル内の隠されたメタデータには、元の名前がまだ記載されています。セキュリティチームは、このメタデータの不一致を侵入を検出する強力な手がかりとして使用できます。
足がかりを確保した後、名前が変更されたツールは、auxs.vbsなどのセカンダリスクリプトをダウンロードするために、正規のクラウドホスティングプラットフォームに接触します。
AWSなどのサービスやTencent Cloudは企業が毎日頻繁に使用しているため、悪意のあるダウンロードは通常のコーポレートウェブトラフィックにシームレスに溶け込みます。
信頼されたクラウドインフラストラクチャを悪用するこの成長するトレンドにより、ビジネスの本質的な運用を誤って中断させることなく、攻撃者をブロックすることは非常に困難になります。
セカンダリファイルがシステムに確実に配置されると、攻撃者は権限の昇格に焦点を当てます。
マルウェアは積極的にWindows ユーザーアカウント制御 (UAC)をバイパスしようとします。成功するまで、管理者権限でコマンドプロンプトを開くために何度も試みます。
被害者が気付かないようにするため、マルウェアはHKLM\Software\Microsoft\Win下のシステムレジストリを静かに変更して、UACセキュリティプロンプトをオフにします。
これにより、攻撃者はユーザーが承認ボタンをクリックすることなく、深い管理制御を獲得できます。マルウェアはシステムに自身を埋め込むため、再起動後も感染が続くことを保証します。
この高度な脅威から保護するために、組織は多層防御戦略を採用する必要があります。セキュリティチームは信頼されていないフォルダ内のスクリプトファイルの実行を制限し、名前が変更されたWindowsユーティリティを積極的に監視すべきです。
クラウドサービスへのトラフィックを検査することは、隠されたダウンロードをキャッチするためにも重要です。Microsoftは推奨していますエンドポイント検出ツールをブロックモードで実行し、マルウェアがアンチウイルスソフトウェアを無効にするのを止めるため、改ざん防止をオンにします。
最後に、従業員に疑わしいWhatsAppメッセージを認識するよう訓練することは、これらの進化するサイバー脅威に対する最強の第一防線のままです。
翻訳元: https://cyberpress.org/whatsapp-chain-drops-backdoor/