DesckVB RATは2026年における非常に活動的でステルス性の高いマルウェア脅威として台頭しており、層状化された難読化とファイルレス実行テクニックを活用して従来のセキュリティ防御を回避しています。
攻撃チェーンは、複雑なエンコーディングとコード複製を通じて真の意図を隠す悪意のあるJavaScriptファイルから始まります。
このスクリプトは独自のロジックをPowerShellとテキストファイルにコピーし、その後PowerShellペイロードを”C:\Users\Public”のパブリックディレクトリにドロップします。
実行されると、スクリプトは”powershell -ExecutionPolicy Bypass”コマンドを使用して制限なく実行されます。これはセキュリティ制御を回避するための一般的な戦術です。
セキュリティ研究者は、このリモートアクセストロイの木馬(RAT)が主に強力に難読化されたJavaScriptを初期感染ベクトルとして使用することを特定しており、早期検出を大幅に困難にしています。
進行する前に、PowerShellスクリプトはGoogleへの接続を試みてインターネット接続を確認します。
DesckVB RATが活動を隠す方法
その後、andrefelipedonascime1768785037020.1552093.meusitehostgator.com.brドメインとPasteeリンクを含む外部インフラストラクチャとの通信を開始します。
特に注目すべきは、Pastee URLは文字列反転と組み合わされたBase64エンコーディングを使用して隠蔽されていることです。デコードして修正されると、ライブペイロードホスティングリンクに解決され、静的解析を回避するために使用される古典的な難読化方法を強調しています。
次のステージではファイルレス.NETローダーが導入されます。ファイルをディスクに書き込む代わりに、マルウェアはリフレクションとメモリ内実行を使用して.NETアセンブリをメモリに直接ロードします。
これにより、フォレンジックフットプリントが大幅に削減され、アンチウイルス検出を回避するのに役立ちます。ローダーはInstallUtil.exeを活用し、正規の.NETフレームワークユーティリティで悪意のあるコードを実行する、よく知られた「生存戦術」テクニックです。
攻撃者が管理するドメインから配信されるペイロードには、ClassLibrary3.dllという名前のDLLが含まれており、これはメモリ内で完全に実行されます。
その中で、prFVIと呼ばれるメソッドはWebClientオブジェクトを使用してネットワーク通信を処理し、おそらくコマンド&コントロール(C2)サーバーから追加のペイロードまたは指示を取得します。
攻撃の中核は、プロセス作成とインジェクションを担当する難読化された.NETルーチンです。
現代のマルウェアにおけるステルス戦術
CreateProcessAなどのWindows APIコールを使用して、マルウェアは制御または一時停止状態で新しいプロセスを生成し、その後悪意のあるコードをインジェクションします。これにより、Microsoft.exeとして特定される最終ペイロードが正規プロセスを装って実行されることができます。
.NETルーチンで、メソッドが”ps1″(PowerShell)への参照を含むエンコードされたパラメータを使用して呼び出され、PowerShellベースのペイロード準備を示しています。
実行時分析により、マルウェアがエンコードされた文字列配列として保存された埋め込み構成を復号化していることが明らかになります。
これらの構成にはmanikandan83.mysynology.netドメインおよびポート7535などのC2詳細が含まれています。キーロガーおよびアンチウイルス検出コンポーネントを含む追加モジュールもメモリにロードされ、データ盗難とシステム監視を可能にします。
全体的に、DesckVB RATは高度な、難読化、ファイルレス実行、および暗号化通信を組み合わせた多段階感染チェーンを示しています。
ネットワーク分析により、感染したシステムが外部サーバーへの暗号化されたHTTPS接続を確立し、悪意のあるトラフィックを通常のウェブアクティビティと混ぜていることが示されています。
TLSハンドシェイクおよび暗号化されたペイロード交換により検査が困難になりますが、キャプチャされたトラフィックはC2インフラストラクチャとの活発な通信を示しています。
観察されたデータには「DetectAV」および「Ping」などのモジュール名が含まれており、マルウェアがシステム防御を継続的に監視し、その運用者との接続を維持していることを示唆しています。
メモリ内で完全に動作し、正規ツールを使用できるその能力は、現代的なエンタープライズ環境に対して重大な脅威となります。
侵害指標(IOCs)
| MD5/ファイル名 | 詳細 |
| 220e11c678bcba151545ce19398e08b8802103bfbbc11696f3301ea8fa38190c | JSファイル |
| 138f29a9190acad9c392cc6fe37104b8 | okfIt.ps1 |
| andrefelipedonascime1768785037020[.]1552093[.]meusitehostgator[.]com[.]br pastee.dev | 悪意のあるドメイン |
| f040a81be4d3b3584b79036d77794c16 | ClassLibrary3.dll |
| fd684ea48cb97714d4f8a0c741cf862b | ClassLibrary1.dll |
| f17ed8c5c54bae6c74d0d793d7c7a72a | Microsoft.exe |
| manikandan83.mysynology.net | 悪意のあるIP: 45.156.87.226 |
| a624f6cb9ccd4106f91e58049163c757 | Keylogger.dll |
翻訳元: https://gbhackers.com/desckvb-rat/
