2026年、サイバーセキュリティ研究者は、DesckVBリモートアクセストロージャン(RAT)として知られる極めて活動的な脅威を追跡しています。このマルウェアは、単純なJavaScriptファイルから始まり、ファイルレス.NET実行へとエスカレートする洗練された多段階の感染プロセスを使用しています。
メモリ内で直接動作することで、DesckVB RATは従来のセキュリティ防御を効果的に回避しながら、侵害されたシステムに対する永続的な制御を確立します。
攻撃シーケンスは、大幅に難読化されたJavaScriptトロージャンから始まります。この初期ファイルは独自のコードを複製し、実行中のPowerShellスクリプトをC:\Users\Publicディレクトリにドロップします。
侵害されたマシンがオンラインであることを確認するため、スクリプトはまずGoogleにPingを送信します。接続性が確認されると、スクリプトはBase64エンコードされた文字列を逆順でデコードして、pastee.devのペイロードホスティングURLを明かします。
文字列反転とエンコーディングの組み合わせは、基本的な静的分析をバイパスすることを目的とした意図的な回避技法です。
その後、マルウェアは実行ポリシーバイパスを使用してセカンダリPowerShellスクリプト(lkpzw_01.ps1)を実行します。
このスクリプトはHostGatorでホストされている大幅に難読化されたドメインと通信を試みます。アンチウイルスアラームをトリガーすることなく次のステージを実行するために、マルウェアは正規の.NETフレームワークユーティリティInstallUtil.exeを悪用します。
スクリプトは実行可能ファイルをディスクに書き込む代わりに、.NETアセンブリClassLibrary3.dllをシステムメモリに直接リフレクティブにロードします。
その後、ネットワーク通信を確立してさらなるコンポーネントをフェッチするように設計された難読化されたメソッドを呼び出します。
一度起動すると、このDLLロードは追加モジュールClassLibrary1.dllをロードし、復号化されたパラメータを動的に処理してシステムを最終ペイロードの準備をします。
マルウェアのローダー機構のコアはプロセスインジェクションに依存しています。CreateProcessA関数を使用して、マルウェアは一時停止状態で新しいプロセスを生成します。最終的なペイロードを注入し、欺瞞的にMicrosoft.exeという名前を付けています。
このペイロードのランタイム分析は、メモリ内でデコードされると、RATの広範なスパイ機能を明かす、大幅に暗号化されたコンフィギュレーション配列を明らかにします。
マルウェアはキーロガー(Keylogger.dll)、アンチウイルス検出器(DetectAV)、不正なWebカメラアクセス用のツールを含む複数の特殊モジュールを積極的にロードします。
マルウェアはデータを流出させ、指令を受け取るための安全なチャネルを確立します。パケットキャプチャは、マルウェアがPingチェックとAV検出アラートなどの内部モジュールステータスをC2サーバに直接送信していることを明らかにします。
セカンダリC2構成も、ダイナミックDNSドメイン manikandan83.mysynology.net に接続し、ポート7535で動作していることが観測されました。
翻訳元: https://cyberpress.org/desckvb-rat-evades-detection/