サイバーセキュリティ研究者は、Redditで活発かつ高度に組織化されたマルウェアキャンペーンを発見しました。脅威アクターが、無料版のTradingView Premiumに偽装した危険な情報窃取型マルウェアを配布しています。
このインシデントは、Raven StealerやDarkCloudなど、セキュリティ専門家が継続的に追跡している他の注目すべきファミリーの増加リストに加わります。
このキャンペーンは、人気の高い金融チャート作成プラットフォームであるTradingViewの高額なサブスクリプション料金を回避しようとする小売業者および暗号資産投資家を狙っています。
悪質なポストは、完全にアンロックされた、リバースエンジニアリングされたバージョンのソフトウェアを約束する一貫したテンプレートに従っています。
研究者は、宣伝文とフェイクユーザーレビューが人工知能によって生成されたもので、大規模言語モデルの典型的な形式的な特性を示していることに気付きました。
脅威アクターは、WindowsとmacOS用の別々のダウンロードリンク、および最新のmacOSアップデート用の特定バージョンを提供しています。
最新のAppleオペレーティングシステム用に専用リンクを提供することで、技術的信頼性が加わります。最近導入されたセキュリティ制限をマルウェアが回避できることを保証します。
被害者がこれらのリンクをクリックすると、正当だが侵害された企業Webサイトにリダイレクトされます。
マルウェアファイルは、これらの一見評判の良いドメインのサブディレクトリに隠蔽されており、ドメイン評判に依存する基本的なセキュリティフィルターをバイパスできるダウンロードが可能になります。
解凍後、感染チェーンは被害者のオペレーティングシステムに基づいて分岐しますが、最終的な目的は同じままです。
Windowsユーザーの場合、解凍フォルダには、無意味なデータパディングを使用して約800メガバイトまで肥大化した実行ファイルが含まれています。この巨大なファイルサイズは、ほとんどのアンチウイルスエンジンのスキャン制限を超えるために設計された意図的な回避戦術です。
起動時に、断片化されたVidarインフォスティーラーコンポーネントを再構成して配置する、高度に難読化されたスクリプトが実行されます。
macOSの場合、ダウンロードされたディスクイメージに、秘密裏に暗号化されたスクリプトを実行する偽のTradingViewインストーラが含まれています。
このスクリプトは、複数のWebブラウザからデータを積極的に収集し、暗号資産ウォレットファイルを盗み、さらに追加の資金をキャプチャするための偽のハードウェアウォレットアプリケーションをインストールできるAMOSスティーラーを配置します。
セキュリティチームは、ネットワークレベルでのパスワード保護付きアーカイブのダウンロードをブロックし、肥大化した実行ファイルや予期しないコマンドラインスクリプトなど、異常なシステム動作についてエンドポイントログを監視することをお勧めします。
ただし、最も効果的な防御は、違法コピーソフトウェアに関連する深刻なリスクについてユーザーを教育することです。
組織は、匿名のソーシャルメディアポストから改ざんされたアプリケーションをダウンロードすることは、多くの場合、壊滅的なデータ損失とネットワークセキュリティの侵害につながることを強調する必要があります。
翻訳元: https://cyberpress.org/reddit-posts-spread-stealers/