2026年2月の終わりに、サイバー対敵は非正統的な戦略を特徴とする新興キャンペーンを開始しました。その戦略とは、ユビキタスなWhatsAppの通信チャネルを介して悪意のあるWindowsアーティファクトを拡散することです。その理屈は優雅に単純でした。身近なメッセージングメディアに置かれた固有の信頼により、ユーザーの警戒心が低下し、ほぼ察知されずに展開される感染チェーンが促進されるのです。
コンピュータセキュリティ
マイクロソフトディフェンダーセキュリティリサーチの先発隊は記録した攻撃であり、Visual Basicスクリプトを活用しています。実行されると、これらのスクリプトはアーキテクチャ内に隔離されたディレクトリを作成し、ネイティブWindowsユーティリティを置き換えます。例えば、正当な「curl.exe」は「netapi.dll」に改名され、「bitsadmin.exe」は「sc.exe」の役割を果たします。内部メタデータは変更されないままです。厳密な検査を通じた検出のための限定的なウィンドウを提供していますが、その欺瞞は手ごわいものです。
その後、悪意のある活動はクラウドの天空層に移行します。スクリプトはAmazon Web Services、Tencent Cloud、Backblazeなどの名門プラットフォームから補助コンポーネントを呼び出します。この方法論は、正当なリクエストの海に悪意のあるテレメトリを巧妙に隠蔽し、ネットワーク活動のフォレンジック分析を深刻に複雑化させます。
一度しっかりと確立されると、マルウェアは管理者主権を奪取しようと試みます。これを達成するために、Windowsユーザーアカウント制御パラメータを操作し、成功するまで昇格した特権を持つコマンドインターフェイスを絶え間なく呼び出します。同時に、システムレジストリへの秘密の変更をオーケストレーションして、その永続性がハードウェアの復活を乗り越えて存在することを保証します。
攻撃の最終段階は厳密に隠蔽されています。「Setup.msi」、「WinRAR.msi」、「AnyDesk.msi」などの欺瞞的な名称を持つ署名されていないMSIパッケージが、侵害されたシステムに組み込まれます。平凡な ソフトウェアの装いの下で、略奪者はリモートアクセスを確保し、データの流出またはより広いネットワーク内での攻撃のさらなる転移を可能にします。
アナリストは、ソーシャルエンジニアリング、ハイジャックされたネイティブWindowsインストルメント、クラウドインフラストラクチャの合成が、このキャンペーンを特に危険なものにしていることを観察しています。防御ソリューションはそのような異常を暴露することができますが、結果は監視構成の厳密さとユーザーの添付ファイルに関する識別力(一見無害なアプリケーション内でも)に大きく左右されます。
マイクロソフトは、未確認の出所からのスクリプト実行の制限、疑わしいシステムの変更の警戒監視、クラウドサービスとのネットワーク通信の厳密な監査を勧めています。同社は教育的なアウトリーチに主要な強調を置いています。攻撃は平凡なメッセージで始まるため、人間のインタラクションのこの正確な瞬間に、アーキテクチャが最も脆弱なままなのです。
ソフトウェア
