概要

セキュリティ研究者らは、フランス語圏の企業環境を標的としたフィッシングキャンペーンについて警告。 このキャンペーンでは、偽の履歴書が使用され、マルウェアの展開や情報窃取に利用されている。この活動は「FAUX#ELEVATE」と命名されており、攻撃者はドロップボックスやモロッコのWordPressサイトなどの正当なサービスとインフラストラクチャを悪用している。

詳細

セキュリティ企業Securonixの研究者らは、このキャンペーンが高度に隠蔽されたVBScriptファイルを使用し、フィッシングメールを通じて配布されていると報告した。 このマルウェアは、資格情報の盗難、データ漏洩、そしてMoneroコインマイニングを組み合わせた多目的ツールキットを展開する。攻撃者はドロップボックスを使用してpayloadをステージングし、モロッコのWordPressサイトでC2構成をホストし、mail[.]ru SMTPインフラストラクチャを利用して盗まれたブラウザ資格情報をエクスフィレートしている。

攻撃手法

• 初期ドロッパーはVisual Basic Script (VBScript)で、開くと偽のフランス語のエラーメッセージを表示し、ファイルが壊れていると思わせる。
• このスクリプトは、サンドボックスからの検出を避けるための一連のチェックを行い、ユーザーに管理者権限で実行するよう促す。
• ドロッパーはセキュリティ制御を無効化し、Microsoft Defender除外パスを設定し、UACを無効にするなどして痕跡を消去する。

ツールと機能

• ChromElevatorプロジェクトを使用したクロムベースのブラウザからの機密データの抽出
• Mozilla Firefoxプロファイルと資格情報の盗難を行うVBScriptマルウェア（mozilla.vbs）
• デスクトップファイルエクスフィレート用のVBScriptペイロード（walls.vbs）
• XMRigコインマイナー（mservice.exe）
• Windowsカーネルドライバ（WinRing0x64.sys）を使用してCPUの全能力を解錠する
• 持続性とクリーンアップ機能を持つRuntimeHost.exe

脅威の特徴

FAUX#ELEVATEキャンペーンは、複数の重要な技術を組み合わせたマルウェアチェーンを示している。 企業セキュリティチームにとって特に危険なのは、攻撃が迅速に実行され、VBS実行から資格情報エクスフィレートまで約25秒で完了する点である。また、ドメイン接続マシンのみを標的とすることで、最大の価値を得ようとしている。

元記事: https://thehackernews.com/2026/03/hackers-use-fake-resumes-to-steal.html