TokyoBlackHatNews

malwarebytes.com 8分で読了

Proton VPNの偽サイトからゲーミングModまで、このWindowsインフォスティーラーは至る所にある

私たちは、NWHStealerとして追跡しているインフォスティーラーを配布する複数のキャンペーンを発見しました。偽のVPNダウンロードからハードウェアユーティリティ、ゲーミングModまで、あらゆる手段が使用されています。このキャンペーンが注目に値する理由は、マルウェア自体だけではなく、どの程度広く、そして確信を持って配布されているかという点です。

インストールされると、ブラウザーデータ、保存されたパスワード、および暗号資産ウォレット情報を収集でき、攻撃者がこれを使用してアカウントにアクセスしたり、資金を盗んだり、さらなる攻撃を実行したりする可能性があります。

私たちは、NWHStealerを配布するために異なるプラットフォームとルアーを使用する複数のキャンペーンを検出しました。スティーラーは、自己注入やRegAsm(Microsoftのアセンブリ登録ツール)などの他のプロセスへの注入など、複数の方法で読み込まれ、実行されます。多くの場合、MSIやNode.jsなどの追加のラッパーが初期ローダーとして使用されます。

スティーラーは、以下のようなルアー(ファイルが主張するもの)を使用して配布されます:

  • VPNインストーラー
  • ハードウェアユーティリティ(例:OhmGraphitePachtopHardwareVisualizerSidebar Diagnostics
  • マイニングソフトウェア
  • ゲーム、チート、Mod(例:Xeno

これは、複数の配布チャネル全体でホストまたは共有されています。以下を含みます:

  • Proton VPNなどの正当なサービスになりすました偽サイト
  • GitHubやGitLabなどのコードホスティングプラットフォーム
  • MediaFireやSourceForgeなどのファイルホスティングサービス
  • ゲームおよびセキュリティ関連のYouTubeビデオからのリンクとリダイレクト

多くの配布方法がありますが、このブログでは2つのケースを見ていきます:

  • ケース1:無料Webホスティングプロバイダーが、自己注入を使用してスティーラーをロードする悪意のあるZIPファイルを配布
  • ケース2:DLL横取りとRegAsmプロセスへの注入を使用してスティーラーをロードする偽サイト

ケース1:無料Webホスティングプロバイダーがスティーラーを配布

最初のケースは最も予想外です。無料Webホスティングプロバイダーであるonworks[.]netがそのダウンロードセクションでスティーラーを最終的に配布するZIPファイルをホストしていることを発見しました。

ウェブサイトはトップ100,000にランクされており、ユーザーは完全にブラウザー内で仮想マシンを実行できます。

Image

このサイトを通じて、ユーザーは以下のような名前の悪意のあるZIPをダウンロードします:

  • OhmGraphite-0.36.1.zip
  • Sidebar Diagnostics-3.6.5.zip
  • Pachtop_1.2.2.zip
  • HardwareVisualizer_1.3.1.zip
Image

この場合、スティーラーをロードするための悪意のあるコードは実行ファイル(例えばHardwareVisualizer.exe)に埋め込まれています。

Image

ローダーには分析をより困難にするためのジャンクコードが含まれており、以下をはじめとするいくつかの操作を実行します:

  • 分析ツールの環境をチェックし、検出された場合は終了する
  • 文字列用のカスタム復号化関数を実装する
  • LoadLibraryAGetProcAddressを使用して関数を解決する
  • BCrypt APIを介してAES-CBCを使用して次のステージを復号化してロードする

これはスティーラーが配布される唯一の方法ではありません。私たちは同じZIP名で、代わりにDLL横取りを介してスティーラーを配布する同様のルアーを発見しました。

この場合、HardwareVisualizer.exeは実際にはWinRAR実行ファイルであり、悪意のあるコードはWindowsCodecs.dllに存在します。

Image

DLLローダーを追跡している間に、異なるルアーを使用する他のキャンペーンでも配布されているのが見られました。たとえば、分析した2番目のケースでは、この悪意のあるDLLは偽のウェブサイトを通じて配信されています。

ケース2:Proton VPNの偽サイトとDLLローダー

2番目のケースでは、悪意のあるZIPを配信するProton VPNになりすましたウェブサイトを検出しました。このアーカイブはDLL横取りまたはMSIファイルを使用してスティーラーを実行します。明確にするため、これはProton VPNとの提携はなく、私たちが彼らに見つけたことを知らせました。

ウェブサイトへのリンクは、インストールプロセスを示すAIが生成したビデオとともに、複数の侵害されたYouTubeチャネルに表示されます:

Image
Image

他の感染チェーンでは、このDLLは異なる名前で表示されます。以下を含みます:

  • iviewers.dll
  • TextShaping.dll
  • CrashRpt1403.dll

このDLLは2つの埋め込みリソースを復号化します。復号化方法はサンプル間で異なります。カスタムAES実装を使用するものもあれば、OpenSSLライブラリに依存するものもあります。

復号化されたリソースの1つは、2番目のステージDLLであるrunpeNew.dllで、GetGetメソッドを介してロードおよび実行されます。

2番目のステージDLLは、プロセス(例えばRegAsm)を開始し、以下を含む低レベルAPIを使用してプロセスホローイングを実行します:

  • NtProtectVirtualMemory
  • NtCreateUserProcess
  • NtUnmapViewOfSection
  • NtAllocateVirtualMemory
  • NtResumeThread

最終的なペイロード:NWHStealer

これらの感染チェーンの終わりに、攻撃者はNWHStealerを展開します。スティーラーはメモリ内で直接実行するか、RegAsm.exeなどの他のプロセスに自己注入します。

暗号資産ウォレットに関連する25以上のフォルダーとレジストリキーを列挙します。

Image
Image

スティーラーは、Edge、Chrome、Opera、360 Browser、K-Melon、Brave、Chromium、Chromodoを含む複数のブラウザーからデータを収集してエクスフィルトレーションします。

Image
Image

さらに、msedge.exefirefox.exechrome.exeなどのブラウザープロセスにDLLを注入します。このDLLはブラウザーデータを抽出して復号化し、コマンド・アンド・コントロール(C2)サーバーに送信します。

Image

注入されたDLLは、以下を行うPowerShellコマンドも実行します:

  • LOCALAPPDATAに隠しディレクトリを作成する
  • Windows Defender除外にこれらのディレクトリを追加する
  • グループポリシーの更新を強制する
  • getPayloadリクエストを暗号化してC2に送信する
  • システムプロセス(例:svchost.exeRuntimeBroker.exe)として偽装された追加のペイロードを受信して実行する
  • ユーザーログオン時に昇格された特権でペイロードを実行するようにスケジュール済みタスクを作成する

C2に送信されるデータはAES-CBCを使用して暗号化されます。プライマリサーバが利用できない場合、マルウェアはTelegramベースのデッドドロップを介して新しいC2ドメインを取得できます。

Image
Image

スティーラーは、PowerShellコマンドを実行するために既知のCMSTP ユーザーアカウント制御(UAC)バイパス技術も使用します:

  • tempフォルダーにランダムな.infファイルを生成する
  • cmstp.exeを使用して特権をエスカレートする
  • Windows APIを使用してプロンプトを自動的に確認する

安全な状態を保つ方法

このキャンペーンの背後にある攻撃者は、フィッシングメールや明白な詐欺に依存する代わりに、人々が積極的に探して信頼しているツール内にマルウェアを隠しています。GitHub、SourceForge、YouTubeなどのプラットフォーム全体に広がることで、ユーザーが警戒を落とす可能性が高まります。

インストールされると、影響は深刻になる可能性があります。盗まれたブラウザーデータ、保存されたパスワード、および暗号資産ウォレット情報は、アカウント乗っ取り、経済的損失、およびさらなる侵害につながる可能性があります。

逃げられないようにするための私たちのヒントは以下の通りです:

  • 公式ウェブサイトからのみソフトウェアをダウンロードする
  • ソースを信頼していない限り、GitHub、SourceForge、またはファイル共有プラットフォームからのダウンロードに注意する
  • 何かを実行する前に、ファイルの署名と発行者の詳細を確認する
  • YouTubeの説明のリンクからツールをダウンロードしないようにする
  • プロのヒント:Malwarebytes Browser Guardをブラウザーにインストールして、悪意のあるURLをブロックします。

侵害のインジケーター(IOC)

疑わしいアーカイブ内のソフトウェアの署名とバージョンを確認します。

ハッシュ

e97cb6cbcf2583fe4d8dcabd70d3f67f6cc977fc9a8cbb42f8a2284efe24a1e3

2494709b8a2646640b08b1d5d75b6bfb3167540ed4acdb55ded050f6df9c53b3

ドメイン

vpn-proton-setup[.]com(偽サイト)

get-proton-vpn[.]com(偽サイト)

newworld-helloworld[.]icu(C2ドメイン)

https://t[.]me/gerj_threuh(Telegramデッドドロップ)

URL

https://www.onworks[.]net/software/windows/app-hardware-visualizer

https://sourceforge[.]net/projects/sidebar-diagnostics/files/Sidebar%20Diagnostics-3.6.5.zip

https://github[.]com/PieceHydromancer/Lossless-Scaling-v3.22-Windows-Edition/releases/download/Fps/Lossless.Scaling.v3.22.zip

これは悪意のあるURLの部分的なリストです。完全な保護を取得し、残りの悪意のあるURLをブロックするために、Malwarebytes Browser Guardプラグインをダウンロードしてください。

翻訳元: https://www.malwarebytes.com/blog/threat-intel/2026/04/from-fake-proton-vpn-sites-to-gaming-mods-this-windows-infostealer-is-everywhere

ソース: malwarebytes.com
#DLL横取り #NWHStealer #Windows セキュリティ #インフォスティーラー #ブラウザーデータ盗聴 #プロセスホローイング #マルウェア #マルウェア配布 #偽サイト #暗号資産ウォレット

関連記事

AIのクリックベイトがあなたの通知をスキャムフィードに変えることができます

偽のYouTubeの著作権通知はあなたのGoogleログインを盗むことができます

4月のパッチチューズデーが2つのゼロデイを修正、その1つは既に攻撃が行われている