概要
ハッカーはPNG画像のステガノグラフィーを利用して、WindowsシステムにPulsarリモートアクセストロイアン(RAT)を侵入させる攻撃を行っています。この攻撃では、開発者が誤ってインストールする可能性があるtypo squattingのNPMパッケージを使用しています。
攻撃の手順
1. パッケージのインストール:
- ハッカーは「buildrunner-dev」という名前のtypo squatting NPMパッケージを用意し、開発者が誤ってインストールする可能性があるように偽装しています。
2. ダウンロードと実行:
- このパッケージは、init.jsというスクリプトを自動的にダウンロードし、実行します。init.jsはさらにpackageloader.batをダウンロードして実行します。
3. パーミッションの昇格:
- packageloader.batはfodhelper.exeを使用したUACバイパスを行い、管理者権限で自身を再起動します。
ステガノグラフィーとAMSIバイパス
攻撃者はPNG画像のRGBピクセル値を利用してデータを隠すステガノグラフィー技術を使用しています。この手法により、通常のPNGファイルがダウンロードされますが、実際にはマルウェアコードが含まれています。
Pulsar RATの配布
最終的に、攻撃者はPulsarという強力なWindows RATを展開します。このRATは、ファイルレス実行やHVNCスタイルのステルスリモートデスクトップ機能を持つことで知られています。