ハッカーはGitHubでホストされている偽のProxifierインストーラーを悪用して、多段階のClipBankerマルウェアを配信し、感染したシステムから暗号資産トランザクションを静かに乗っ取っています。
このキャンペーンは検索エンジンポイズニング、トロイ木馬化されたインストーラー、およびファイルレス技術を組み合わせ、被害者のウォレットアドレスを攻撃者が管理するアドレスに入れ替えながらレーダーの下に留まっています。
感染は通常、ユーザーが「Proxifier」または汎用の「proxifier」ツールをウェブで検索して、ロックダウンされた開発環境または企業環境でプロキシを通じてアプリトラフィックをトンネリングしようとするときに始まります。
最上位の検索結果の中に、シンプルなプロキシサービスをホストしているように見えるGitHubリポジトリがありますが、そのReleaseセクションには本当の危険が隠されています。
そこで被害者は、一見正当なProxifierインストーラーとライセンスコストを回避しようとしているユーザーを引き寄せるのに役立つ「無料」のライセンスキーを含むテキストファイルを含むアーカイブを見つけます。
実行可能ファイルは実際には、本物のProxifierインストーラーを実行しながら、バックグラウンドで長いファイルレス感染チェーンを静かに起動するトロイ木馬化されたラッパーです。
2025年初頭以来、Kaspersky製品の2,000人以上のユーザーがこの脅威に遭遇し、ほとんどの検出がインドとベトナムで観察され、約70%がすでに侵害されたマシンでKasperskyのウイルス除去ツール経由で特定されています。
Proxifier GitHubインストーラー
実行されると、トロイの木馬は最初にMicrosoft Defender保護をTMP拡張子を持つすべてのファイルとインストーラーが実行されているディレクトリの除外を追加することで弱めます。
これらの除外が設定された後、ラッパーはユーザーが正常なインストールを見るように正当なProxifierインストーラーを起動しますが、マルウェアは静かに続行します。
これは、tempフォルダに小さな「Proxifier*.tmp」スタブを作成し、api_updater.exeという.NETバイナリをそこに注入し、PSObjectクラス経由でメモリ内PowerShellスクリプトを実行して、目に見えるコンソール生成を回避することで実行されます。
別のドナープロセスを起動し、proxifierupdater.exeを注入してから、conhost.exeを別のホストとして悪用して、メモリ内で難読化されたPowerShellを再び実行する.NETコンポーネント(「bin.exe」)を実行します。
このPowerShellステージは4つの重要なタスクを実行します:PowerShell.exeとconhost.exeをDefender除外に追加し、Base64エンコードされたペイロードをHKLM\SOFTWARE\System::Configレジストリキーに書き込み、タイマーでそのレジストリデータを読み取ってデコードするスケジュール済みタスクを作成し、最後にhxxps://maper[.]info/2X5tF5のIPロギングサービスにpingして感染の成功を報告します。
ほとんどのロジックをレジストリに保存されたスクリプトとメモリ内実行に保持することで、行為者はディスク上の従来のファイルアーティファクトを最小化します。
スケジュール済みタスクはPowerShellを起動し、これはレジストリに保存されたスクリプトをロード、デコード、実行してから、コンテンツが大量にエンコードされており難読化されているハードコードされたPastebin風のサービスから次のスクリプトレイヤーを取得します。
そのスクリプトは、次にGitHubから別の大規模なPowerShellペイロード(約500KB)をダウンロードし、これは主にシェルコードを含む長いBase64文字列で構成されています。
最終ペイロード:ClipBanker暗号ステーラー
デコード後、大規模なPowerShellスクリプトはシェルコードを抽出し、fontdrvhost.exeを起動し、シェルコードをそこに注入して、この注入されたコードに実行を渡します。
シェルコードは最終ペイロードをアンパックします:クリップボード操作に専念するMinGWで記述されたC++での従来のClipBankerスタイルのマルウェアです。
このClipBankerバリアントは、Bitcoin、Ethereum、Monero、Dogecoin、Solana、TRON、Ripple、Tezosなど、幅広いネットワークの暗号資産ウォレット形式に一致する文字列をクリップボードで絶えず監視しています。
ウォレットアドレスを検出するたびに、攻撃者のハードコードされたアドレスの1つに静かに置き換え、スティーラー自体からの画面上の警告や追加のネットワーク通信なしに発信トランスファーを効果的にリダイレクトします。
これは多くの被害者が感染を事後にしか発見しないことを示しており、損害が発生した後のクリーンアップに頼るのではなく、プロアクティブなエンドポイント保護の重要性を強調しています。
このキャンペーンは、非公式なソースからクラックされた「プレアクティベートされた」ソフトウェアをダウンロードすることは、特に暗号資産が関与している場合、認証情報盗難または直接的な経済的損失につながる可能性があるという馴染みのあるレッスンを強化しています。
ユーザーは公式ベンダーサイトからのみソフトウェアをインストールし、海賊版のライセンスキーを避け、ファンドが危険にさらされる前にファイルレス攻撃チェーンと疑わしいPowerShell動作をブロックできる信頼できるセキュリティソリューションをデプロイする必要があります。
翻訳元: https://gbhackers.com/fake-proxifier-github/
