サイバーセキュリティ研究者は、NWHStealerと呼ばれる新しい情報ステーラーを配布する広範なキャンペーンを発見しました。
このマルウェアは、VPNインストーラー、ハードウェアユーティリティ、ゲーミングモッドを含む人気のあるソフトウェアとして巧みに偽装されています。システムが感染すると、ステーラーはブラウザデータ、保存された認証情報、および暗号通貨ウォレットを狙います。
攻撃者はこの機密情報を利用して、資金を枯渇させたり、アカウントを乗っ取ったり、被害者に対して二次攻撃を仕掛けたりできます。
従来のフィッシングメールに依存する代わりに、脅威アクターは、正当に見えるウェブサイトや人気のあるファイル共有プラットフォームで悪意あるファイルをホストしています。
研究者はコードリポジトリ(GitHubやGitLabなど)やファイルホスティングサービス(MediaFireなど)を含む複数の配布チャネルを分析しました。キャンペーンはMSIやNode.jsなどのラッパーを使用してマルウェアを最初にロードすることが多いです。
注目すべき事例の1つで、攻撃者はランク100,000以内の無料Webホスティングプロバイダーであるonworks[.]netを悪用しました。
このプラットフォームを通じて、疑わないユーザーがOhmGraphite、Pachtop、HardwareVisualizerなどのハードウェア診断ツールとして偽装された悪意あるZIPファイルをダウンロードしました。これらのアーカイブには、ステーラーが安全にデプロイされる前に分析ツールを回避するために詰め込まれたジャンクコードを含む実行可能ファイルが含まれていました。
別の大規模なキャンペーンは、Proton VPNを偽装した洗練された偽のウェブサイトを含んでいました。脅威アクターは、AI生成チュートリアルビデオを侵害されたYouTubeチャネルにアップロードすることでこの詐欺的なサイトを宣伝しました。
ユーザーが偽のVPNソフトウェアをダウンロードすると、DLLハイジャック技術がトリガーされました。悪意あるDLLは埋め込まれたリソースを復号化し、プロセスホローイングを実行し、ステーラーをRegAsmなどの正当なWindowsプロセスに直接注入しました。
NWHStealerが実行されると、すぐに機密ユーザーデータを対象にします。マルウェアは25以上のシステムフォルダとレジストリキーを積極的にスキャンし、特に暗号通貨ウォレットを探しています。
また、Chrome、Edge、Brave、Firefoxを含む主要なWebブラウザに悪意あるDLLを直接プロセスに注入することで攻撃します。
これにより、マルウェアはローカルブラウザデータを抽出して復号化してからAES-CBC暗号化経由で攻撃者のコマンドアンドコントロールサーバーに送信することができます。
ステーラーは永続性を維持して検出を回避するための高度な技術を採用しています。Windows cmstp.exeユーティリティに関連する既知のユーザーアカウント制御バイパス技術を使用して、その権限を静かに昇格させます。
脅威アクターは、ユーザーが積極的に検索して信頼するツール内にマルウェアを隠すときに非常に成功します。
翻訳元: https://cyberpress.org/fake-vpns-spread-nwhstealer/
