- WhatsAppファイルがVBSマルウェアを配信し、静かにインストールされて完全な制御を獲得
- 隠されたフォルダと名前を変更されたWindowsツールにより、攻撃者は通常の操作に混在できます
- マルウェアは検出を避けるために信頼できるクラウドサービスから二次スクリプトを取得します
Microsoftは、WhatsAppを使用してVisual Basic Script(VBS)ファイルを配信し、ユーザーが使い慣れたメッセージングプラットフォームに寄せる信頼を悪用する多段階マルウェアキャンペーンを特定しました。
攻撃者はWhatsApp経由で無害に見えるファイルを送信していますが、それを開くと、敵に隠されたシステム制御を付与する静かなインストールがトリガーされます。
実行されると、スクリプトはC:\ProgramDataの下に隠されたフォルダを作成し、curl.exeをnetapi.dllに名前変更したもの、bitsadmin.exeをsc.exeに名前変更したものなど、正当なWindowsユーティリティの名前を変更したバージョンを配置します。
記事は以下に続きます
これらのツールを通常のシステムパスに埋め込むことで、攻撃者はセキュリティソリューションが元のメタデータを検出できながら、ツールが日常的な操作に混在することを確認します。
マルウェアはシステム設定を変更して再起動後に自動的に起動し、ユーザーが脅威を削除したと信じている場合でも生存を確保します。
Microsoftは、このアプローチがソーシャルエンジニアリングを「land-of-the-land」技術と組み合わせ、即座のアラートを引き起こさずに成功した実行を増加させることを警告しています。
「信頼できるプラットフォームと正当なツールを組み合わせることで、脅威アクターは可視性を減らし、成功した実行の可能性を増やします」とMicrosoftはブログ記事で述べています。
初期感染後、マルウェアはAWS S3、Tencent Cloud、およびBackblaze B2を含むクラウドサービスから二次ペイロードを取得します。
auxs.vbsおよびWinUpdate_KB5034231.vbsとして配信されるこれらのドロッパーは、信頼できるクラウドインフラストラクチャを悪用し、悪意のあるダウンロードを正当なネットワークトラフィックに偽装します。
マルウェアはまた、ユーザーアカウント制御設定を変更し、昇格された特権でcmd.exeを実行しようと繰り返し試みます。
マルウェアはHKLM\Software\Microsoft\Winの下のレジストリエントリを変更して、UACプロンプトを抑制し、ユーザーの認識なく管理者権を付与します。
最後の段階では、攻撃者はSetup.msi、WinRAR.msi、LinkPoint.msi、AnyDesk.msiなどの悪意のあるMicrosoft Installer(MSI)ファイルを侵害されたシステムに配置します。
これらの署名されていないインストーラーは、攻撃者に永続的なリモートアクセスを提供し、データ盗難、追加マルウェア配置、または感染したマシンのボットネットへの統合を可能にします。
Microsoftは、UACとレジストリの変更の繰り返しの改ざんを侵害の重要な指標として監視することを推奨しています。
組織は、スクリプトホストの実行を制限し、名前を変更されたシステムユーティリティを監視し、ソーシャルエンジニアリング戦術についてユーザーを教育すべきです。
Microsoftは、クラウド配信保護、改ざん保護、およびブロックモードで動作するエンドポイント検出と応答の重要性を強調しています。
セキュリティチームは従来の検出方法がこれらの操作を日常的なエンタープライズアクティビティから区別するのに苦労する可能性があるため、クラウドトラフィックを厳密に監視する必要があります。
AIツールは、行動異常の分析、テレメトリの相関付け、および疑わしいWhatsAppの添付ファイルの識別に役立ちます。
注意を払わないことは、攻撃者が完全なデバイス制御と機密個人情報へのアクセスを取得するため、永続的なデータ損失をもたらす可能性があります。
Microsoftは、単一の不注意なクリックでさえ、このマルウェアが通常のエンドポイント保護をバイパスすることを可能にする可能性があることを強調しています。
