新手のDocuSignフィッシング詐欺の概要

最新の研究により、DocuSignのブランドを悪用し、Windowsシステムに情報窃取マルウェア「Vidar」を感染させる巧妙なフィッシングキャンペーンが明らかになりました。この攻撃は、非常にリアルなフィッシングサイト、偽の署名済みインストーラー、アクセスコードによる認証、そして時間ベースの実行障壁といった複数の高度な技術を組み合わせて、ユーザーや自動分析システムによる検出を回避します。

攻撃の仕組み

攻撃は、DocuSignからのものと偽装した標的型フィッシングメールから始まります。このメールは、受信者に文書の確認を促し、正規のDocuSignサイトではなく、docu[.]sign-platform[.]appのような偽装ドメインへのリンクを含んでいます。これにより、被害者はページを信頼し、不正なファイルをダウンロードする可能性が高まります。不正なポータルにアクセスすると、ユーザーはDocuSign_PackageInstaller.exeというファイルをダウンロードするよう促されます。これは正規のDocuSignパッケージとして提示されます。

巧妙な回避技術

ダウンロードされるファイルは、中国の企業に発行された有効なコード署名証明書で署名された単一ファイル形式の.NETバンドルです。これは、Windowsシステムでの評判チェックを回避し、疑念を低下させることを目的としています。内部では、主要なロジックがアクセスコードによって保護されています。実行時にプログラムはコードと署名を検証し、提供されたコードをコマンド＆コントロール（C2）サーバーに送信します。サーバーがコードを検証した場合にのみ、マルウェアは次のステージに進み、ペイロードを取得します。これにより、自動サンドボックスや表面的な分析がペイロードに到達するのを効果的に制限します。

バイナリの静的分析では、URLとセカンドステージローダーが埋め込まれていることが示されており、アナリストはアクセスコードが機能しなくても次のステージを特定できます。これにより、対話型の障壁があっても、防御側は完全な配信チェーンを再構築することが可能です。

セカンドステージのペイロードはネイティブのWindowsバイナリで、ローカルシステムクロックではなくオンラインの時刻ソースに基づく時限爆弾チェックを含んでいます。これにより、分析システムでの単純な時刻改ざんを無効化します。また、このサンプルはリバースエンジニアリングを妨害し、行動検知を遅らせるために、パッキングと多層の難読化を使用しています。

Vidarマルウェアの脅威

適切な条件下で実行されると、このパッキングされたセカンドステージは最終的にVidarをドロップし、実行します。Vidarは、ブラウザデータ、資格情報、暗号通貨ウォレット、その他の機密情報をターゲットとする悪名高い情報窃取マルウェアであり、攻撃者に被害者のデジタルライフに関する広範な可視性を与えます。

対策と今後の課題

このDocuSignをテーマにしたスキームは、脅威アクターがいかに巧妙な技術を組み合わせているかを示しています。

• 信頼されたブランドと非常に説得力のあるフィッシングページ
• 正規のコード署名証明書
• アクセスコードによって制御されるC2ロジック
• オンライン時刻チェックとパッキング

JoeSecurityによると、これらの技術は自動サンドボックスや迅速なトリアージに対する回復力を高め、防御側が反応する前にWindowsユーザーが侵害される可能性を増やします。ユーザーは、メールのリンクをクリックする前に常に注意を払い、ドメインの正当性を確認し、セキュリティソフトウェアを最新の状態に保つことが重要です。

---

元記事: https://gbhackers.com/new-docusign-themed-phishing-scam-delivers-stealth-malware/