概要
新しいマルウェアキャンペーンがWhatsAppメッセージを利用してWindowsユーザーに悪意のあるVisual Basic Script (VBS)ファイルを配布し、署名のないMSIインストーラーを通じて持続的なリモートアクセスを可能にする。
攻撃チェーン
このキャンペーンは、WhatsAppメッセージにVBSファイルを添付して開始します。これらのファイルは一見無害ですが、開くとスクリプトとして実行されます。
VBSファイルの動作
- 初期スクリプトがC:\ProgramDataに隠しフォルダを作成します。
- legitimate Windowsツール(curl.exeやbitsadmin.exe)をこれらの場所にコピーし、誤解を招くファイル名(netapi.dllやsc.exeなど)に変更します。
- バイナリはオリジナルのPEメタデータ(OriginalFileNameフィールドなど)を保持しています。
検出と対策
Microsoft Defender Expertsが観察したように、このキャンペーンでは、ファイル名と内部メタデータの不一致を利用してセキュリティ製品の検知を回避します。攻撃者は、持続性を確立し、権限を昇格させることを目指しています。
クラウドペイロード
攻撃者は、AWS S3やTencent Cloudなどの信頼できるクラウドインフラストラクチャからVBSファイルを取得します。これにより、悪意のあるダウンロードが一般的な企業活動に似た形で行われ、ドメインベースまたはIPベースのブロックを難しくします。
権限昇格と持続性
二次スクリプトはユーザー・アカウント・コントロール(UAC)やレジストリ設定を変更し、管理者権限と持続性を確保します。
MSIバックドアの展開
最終段階では、攻撃者はAnyDeskなどの一般的な企業ソフトウェアに似た名前の署名なしMSIインストーラーを配布します。これらのインストーラーは通常、信頼されたパブリッシャーの署名が付いています。
防御策
- スクリプトホスト(wscript, cscript, mshta)を制限またはブロックします。
- クラウドデリバリー保護、EDRモードでのブロック、オベスクファイズやスクリプト起動の実行可能ファイルに対する攻撃面削減ルールを有効にします。
- Tencent CloudやBackblaze B2へのトラフィックを監視し、不審なダウンロードパターンを探します。