複数の進行中のマルウェアキャンペーンが、NWHStealerとして追跡されている強力な情報窃取型トロイの木馬を、偽のVPNインストーラー、ゲームMod、およびシステムツールを通じて配布しています。
典型的なフィッシングキャンペーンとは異なり、これらの攻撃は人気のあるソフトウェアに対するユーザーの信頼を悪用しています。脅威行為者は、Proton VPN、OhmGraphite、Sidebar Diagnostics、Pachtop、HardwareVisualizerなどのツールの正規インストーラーとして悪意のあるペイロードを偽装しています。
ファイルは偽のルックアライクドメイン、GitHub、GitLab、MediaFire、SourceForgeなどの複数のチャネルでホストされており、ゲーム関連またはセキュリティ関連のYouTubeビデオからリンクされていることがよくあります。
実行されると、NWHStealerはRegAsm.exeなどの信頼されたWindowsプロセス(Microsoftのアセンブリ登録ツール)に自身を注入することでシステムに侵入します。
研究者は、ユーザーをだまして悪意のあるソフトウェアをダウンロードして実行させるために、説得力のある偽のウェブサイト、開発者プラットフォーム、YouTubeチャネルを活用した広範な作業を発見しました。
バリアントに応じて、自己注入、DLLハイジャック、またはMSIベースのローダーを使用して最終的なペイロードをこっそり展開する場合があります。
ケース1:マルウェアとしての無料ホスティングサービス
驚くべき発見の1つは、ユーザーがブラウザ内で仮想マシンを実行できる正規の無料Webホスティングプロバイダーであるonworks[.]netを活用した悪意のあるキャンペーンでした。
攻撃者はこのプラットフォームを悪用して、正規のユーティリティに偽装した感染したZIPアーカイブをホストしました。OhmGraphite-0.36.1.zip、Sidebar Diagnostics-3.6.5.zip、HardwareVisualizer_1.3.1.zipという名前のダウンロードには、悪意のあるローダーが組み込まれた実行可能ファイルが含まれていました。
これらのローダーには、アンチ分析コード、カスタムAES-CBC復号化ルーチン、およびLoadLibraryAとGetProcAddressを介してシステム関数を動的に解決するためのWindows APIコールが含まれています。
復号化されると、次のステージをメモリに直接ロードして、従来のエンドポイント防御を回避します。
関連するサンプルでは、攻撃者は正規ファイルをWinRAR実行可能ファイルで置き換え、悪意のあるDLL(例:WindowsCodecs.dll)をバンドルして信頼されたプロセスをハイジャックしました。
ケース2:マルウェアを配信する偽のProton VPNサイト
第2波では、現実的なUIで設計され、公式VPNインストーラーを模倣したバンドルZIPファイルを備えた偽のProton VPNウェブサイトが関わっていました。
これらのアーカイブには、iviewers.dll、TextShaping.dll、CrashRpt1403.dllなどの悪意のあるDLLが含まれており、RegAsmなどの正規バイナリでプロセスホローを開始します。
マルウェアは、埋め込みリソースを復号化し、セカンダリペイロードをロードして、最終的にメモリ内でNWHStealerを実行します。
研究者はこのキャンペーンを、偽のインストールプロセスを示し、視聴者をダウンロードリンクに誘導するAI生成チュートリアルビデオを備えた侵害されたYouTubeチャネルにも関連付けています。
これらのサイトやビデオのいずれもProton VPNとは提携しておらず、同社は詐称について通知されています。
アクティブになると、NWHStealerはブラウザデータを体系的に列挙し、保存された認証情報を抽出し、暗号資産ウォレットに関連する25以上のディレクトリをターゲットにします。
Chrome、Edge、Brave、Opera、Chromiumベースのバリアントなどの主要ブラウザ全体で動作し、DLLをブラウザプロセスに注入して、保存された情報を復号化して流出させます。
データはコマンド・アンド・コントロール(C2)インフラストラクチャに送信される前にAES-CBCで暗号化されます。メインサーバにアクセスできない場合、マルウェアはTelegramベースのデッドドロップを使用して新しいC2アドレスを取得します。
msedge.exe、firefox.exe、chrome.exeなどのブラウザプロセスにDLLを挿入します。このDLLはコマンド・アンド・コントロール(C2)サーバに送信する前に、ブラウザデータを抽出して復号化します。
また、PowerShellコマンドを実行してWindows Defenderを無効にし、非表示フォルダを作成し、スケジュール済みタスクをセットアップして永続性を維持します。特権をエスカレートするために、既知のCMSTP UACバイパス技法を使用します。
安全に保つ方法
NWHStealerの背後にある攻撃者は、ユーザーが既に信頼しているソフトウェアを活用しており、これらの脅威を異常に効果的にしています。保護を保つには:
- 常に公式ベンダーのウェブサイトからのみソフトウェアをダウンロードしてください。
- GitHubでホストされているツール、SourceForge、またはファイル共有サイトに注意してください。
- ファイルのデジタル署名とパブリッシャーの詳細を確認してください。
- 無料またはMod版のソフトウェアを約束するYouTubeリンクをたどらないようにしてください。
- Malwarebytes Browser Guardなどのセキュリティアドオンを使用して、悪意のあるサイトをブロックしてください。
NWHStealerの配布の増加する洗練さは、一見正規のソフトウェアソースでも、慎重な精査なしに常に信頼できるわけではないことを示しています。
翻訳元: https://gbhackers.com/fake-protonvpn-2/
