攻撃者が偽のAdobe Acrobat Readerインストーラーを配布し、複雑なメモリ内実行チェーンを介してConnectWiseのScreenConnectを秘密裏に展開する詐欺キャンペーン。
ScreenConnectは正当なリモートアクセスツールですが、不正なシステム制御とデータ収集のために転用されました。
攻撃チェーンは、被害者がAdobeの公式ダウンロードページを模倣するように設計されたフィッシングサイトに着地したときに開始されました。
サイトがアクセスされると、Acrobat_Reader_V112_6971.vbsという名前の悪意のあるVBScriptファイルが自動的にダウンロードされました。
このスクリプトは最初段階のローダーとして機能し、検出を回避するために重く難読化されていました。読み取り可能なコードを表示する代わりに、攻撃者は実行時に文字列とオブジェクトを動的に再構成して、WScript.Shell作成などの操作を隠し、静的分析をほぼ不可能にしました。
2026年2月、Zscaler ThreatLabzは、攻撃者が偽のAdobe Acrobat Readerダウンロードを使用して被害者を誘い込む攻撃チェーンを発見しました。
VBScriptローダーはExecutionPolicy Bypassを使用してPowerShellコマンドを実行し、スクリプトをブロックするように構成されたシステムでもペイロードを実行できるようにしました。
その後、PowerShellは一時ディレクトリを作成し、Google Driveから追加のファイルをフェッチし、.NETライブラリを使用したAdd-Typeコマンドを使用してメモリに直接コンパイルしました。
このアプローチにより、悪意のあるバイナリがディスクに書き込まれず、フォレンジック証拠を最小化し、署名ベースの防御を回避できました。
リフレクションベースのメモリ内ローダー
第2段階のPowerShellコンポーネントは、隠されたDotNETアセンブリをメモリ内で完全にロードして実行しました。このコンポーネント内では、HelloWorldクラスに実際のペイロードを表すバイト配列が埋め込まれていました。
ローダーはDotNETリフレクションを使用して、Assembly.Load(byte[])とEntryPoint.Invoke()を呼び出し、悪意のあるアセンブリを動的に実行しました。
「Lo」+「ad」および「Ent」+「ryPo」+「int」のようなメソッド名を分割して連結することにより、攻撃者は自動化された分析から重要な文字列を隠しました。
高度な回避技術もこの段階で出現しました。ローダーはプロセス環境ブロック(PEB)を取得してプロセス名をスプーフィングし、監視ツールからそのアイデンティティをマスクしました。
C:\Windows\winhlp32.exeなどの値で正当なプロセスメタデータを置き換え、マルウェアが通常のシステムアクティビティに溶け込み、エンドポイント検出と応答(EDR)ソリューションを回避するのを支援しました。
ユーザーアカウント制御(UAC)プロンプトをトリガーせずに管理者権限を取得するために、ThreatLabzは攻撃者がWindowsの自動昇格コンポーネントオブジェクトモデル(COM)オブジェクトを利用していることを発見しました。
彼らは、CoGetObject関数を使用して昇格したアクセスを静かにリクエストするために、逆順で格納された昇格モニカーを構築しました。成功した場合、これにより悪意のあるプロセスは高い権限で実行され、標準的なセキュリティプロンプトをバイパスできました。
最終ペイロード:ScreenConnect
最後の段階では、別のPowerShellコマンドがx0[.]at/qOfN.msiから名前が変更されたScreenConnectインストーラーをダウンロードし、msiexecで実行しました。
インストールされると、ScreenConnectは攻撃者にリモートアクセスと侵害されたホストの完全な制御を付与しました。チェーンはローダーが昇格したCOMオブジェクトを解放して静かに終了することで終了しました。
Zscaler ThreatLabzは、キャンペーンが正当なITツールが高度なスクリプトとメモリのみの実行を通じてどのように武器化できるかを示していると結論付けました。
階層化された難読化、動的コード生成、およびCOMベースの権限昇格を組み合わせることにより、攻撃者は従来のアンチウイルスまたはEDRアラートをトリガーせずにScreenConnectを正常にインストールしました。
このインシデントは、行動ベースの防御と、公式ベンダードメイン以外から発生する「信頼できる」ソフトウェアダウンロードの厳格な精査の必要性を強調しています。
侵害の指標(IOCs)
| インジケータ | タイプ |
|---|---|
| E4B594A18FC2A6EE164A76BDEA980BC0 | VBS |
| 07720d8220abc066b6fdb2c187ae58f5 | VBS |
| c36910c4c8d23ec93f6ae7d7a2496ce5 | VBS |
| 3EFFADB977EDDD4C48C7850C8DC03B13 | DotNETアセンブリを含むC#コード |
| 07F95FF34FB330875D80AFADCA3F0D5B | DotNETアセンブリを含むC#コード |
| A7E5DBEC37C8F431D175DFD9352DB59F | DotNETアセンブリを含むC#コード |
| C02448E016B2568173DE3EEDADD80149 | EXE |
| 3D389886E95F00FADE1EEA67A6C370D1 | MSI |
| eshareflies[.]im/ad/ | 詐欺ページURL |
| https://x0[.]at/qOfN.msi | ScreenConnectインストーラーダウンロード |
| drive.google[.]com/uc?id=1TVJir-OlNZrLjm5FyBMk_hDjG9BV1zCy&export=downloadcccccdcjeegrekhllfijllutvbrrcifehuenfirtelit | TXTダウンロード |
| drive.google[.]com/uc?id=1pyyQRpUmH0YtPG-VqvMNzKUo9i8-RZ7L&export=download | TXTダウンロード |
| drive.google[.]com/uc?id=1xuJR29UP5VcY6Nvwc7TDtt7fmcGGqIVc&export=download | TXTダウンロード |
翻訳元: https://gbhackers.com/fake-adobe-reader-download/
