概要
攻撃者は、正当なTriton macOSクライアントであるomg.lol用の悪意のあるフォークを作成し、信頼できるオープンソースプロジェクトを利用してWindows向けのマルウェアを配布する新たな脅威を明らかにしました。
攻撃者の手法
攻撃者はGitHubのフォークモデルを利用し、誤解を招くREADMEコンテンツと不明瞭なアセットパスを使用してユーザーを欺き、trojan化されたアーカイブであるSoftware_3.1.zipをダウンロードさせるように仕組んでいます。
Tritonアプリについて
Tritonは、開発者Otávio C.によって作成され、omg.lolのサービス(Statuslog、PURLs、Webページなど)を集約するmacOSクライアントです。しかし、このプロジェクトではソースコードやコンパイル可能なアプリケーションではなく、ユーザーに直接ZIPファイルをダウンロードさせるよう促しています。
攻撃者のアカウント
JaoAurelianoというアカウントは、このプロジェクトのフォークのみをホストしており、短期間で多くのコミットを行ったように見せかけるためにバックデートされた自動コミットを使用しています。
マルウェアの詳細
Software_3.1.zip内のpayloadはSHA-256ハッシュ39b29c38c03868854fb972e7b18f22c2c76520cfb6edf46ba5a5618f74943eacで、VirusTotalでの検出率は12/66です。
実行フロー
このマルウェアの実行フローは以下の通りです:
- 7za.exe: パスワード保護されたアーカイブを一時的なディレクトリに展開。
- cmd.exe: Launcher.cmdというバッチファイルを起動。
- luajit.exe: スクリプト化された振る舞いを実行。
防御策と対応
セキュリティチームや開発者は、リポジトリ所有者の確認、コミット履歴の検査、公式リリースアーティファクトの使用を推奨します。また、攻撃に関連するハッシュ、URL、プロセス(7za.exe, Launcher.cmd, luajit.exe)、およびOfficeやブロックチェーンRPCエンドポイントへの不審なトラフィックを監視することも重要です。
インジケーターオブコムpromise (IOC)
ファイルハッシュ
- SHA-256:
39b29c38c03868854fb972e7b18f22c2c76520cfb6edf46ba5a5618f74943eac - ファイルサイズ: 1.33 MB
- ファイルタイプ: ZIPアーカイブにPE実行可能ファイルが含まれている