ハッカーがGitHub上の偽のProxifierインストーラーを使用して、長い多段階の感染チェーンを通じてClipBankerマルウェアを配信しています。
このキャンペーンは信頼できそうに見えるプロキシツールの背後に隠れ、その後静かにDefenderの除外を追加し、隠しPowerShellを実行し、最終的にクリップボード内の暗号資産ウォレットアドレスを置き換えます。
攻撃は、被害者が「Proxifier」を検索し、通常のプロキシユーティリティプロジェクトのように見えるGitHubリポジトリにアクセスすることで始まります。
リリースファイルには、攻撃者がトロイの木馬化されたインストーラーと偽のアクティベーションキーを含むテキストファイルを隠し、パッケージを有用で正当に見せています。
起動されると、インストーラーはソフトウェアをきれいにインストールするのではなく、まずシステムをさらなる悪用のために準備します。
マルウェアの最初の動きはMicrosoft Defenderを弱体化させることです。小さな一時ファイルを作成し、そこにコードを注入し、そのドナープロセスを使用して、TMP ファイルとインストーラーフォルダーのアンチウイルス除外を追加する隠しPowerShellスクリプトを実行します。
その後、より多くの.NETコンポーネントを他のプロセスに注入することでチェーンを継続し、活動を見つけにくくするのに役立ちます。
初期セットアップの後、トロイの木馬は実際のProxifierインストーラーを起動します。したがって、ユーザーは動作するプログラムを見て、何も疑わないかもしれません。
バックグラウンドで、別のドナープロセスを作成し、2番目のモジュールを注入し、それを使用してさらに別の隠しスクリプトでシステムユーティリティを開始します。
スクリプトは難読化されていますが、その目的は単純です:Defender除外を拡張し、エンコードされたPowerShellをレジストリに保存し、後で実行するためにより多くの悪意のあるコードをスケジュールします。
スケジュールされたタスクは、レジストリ値を読み取り、デコードし、PowerShellを通じて次のステージを起動します。
そのステージは、GitHubとPastebinスタイルのサービスを含むハードコードされたオンライン場所から別の大きなスクリプトをダウンロードし、さらにデコードした後それを実行します。
最終的なメモリ内ペイロードはClipBankerで、C++で記述されたクリップボードハイジャッカーで、 暗号資産ウォレット アドレスを監視し、それらを攻撃者が制御するものに置き換えます。
ターゲットとされている通貨のリストは広く、Bitcoin、Ethereum、Monero、Solana、TRONなどの主要なブロックチェーンネットワークが含まれています。
これにより、マルウェアは取引、支払い、または資金移動中にウォレットアドレスをコピーする人にとって特に危険になります。キャンペーンはまたIPロガーサービスをping送信し、攻撃者が成功した感染を確認できるようにします。
多くの検出は無料のクリーンアップツールからもたらされており、予防が妥協後の回復よりもはるかに簡単であることを示唆しています。
翻訳元: https://cyberpress.org/clipbanker-spread-via-proxifier/