サイバーニュース.jp

世界のサイバーなニュースを配信

サイバー犯罪者がマルウェア対策ソフト「Malwarebytes」を偽装し、ユーザー認証情報を窃取

カテゴリ:

マルウェアバイトを装うサイバー犯罪者、ユーザー認証情報を窃取

進行中の脅威調査「Flash Hunting Findings」により、サイバー犯罪者が人気のマルウェア対策ソフトウェアであるMalwarebytesを巧妙に偽装し、情報窃取型マルウェアを配布している実態が明らかになりました。この攻撃キャンペーンは、ユーザーのログイン情報や仮想通貨ウォレットのデータを狙っています。活動は2026年1月11日から1月15日の短期間に集中して観測されました。

攻撃キャンペーンの仕組み

この攻撃は、一貫した手口で展開されています。脅威アクターは、正規のMalwarebytes製品を装ったZIPアーカイブを配布しており、そのファイル名には「malwarebytes-windows-github-io-X.X.X.zip」のようなパターンが見られます。これらのZIPファイルはすべて、共通のbehash「4acaac53c8340a8c236c91e68244e6cb」を持っており、これにより防御側は容易に脅威を追跡できます。

各アーカイブの内部構造もほぼ同一で、以下の要素が含まれています。

  • 正規の信頼できる実行ファイル(EXE):ローダーとして機能します。
  • 悪意のあるDLLファイル:主要なペイロードです。
  • 一見無害なTXTファイル:脅威ハンティングの足がかりとして利用されます。

この一貫した構造は、脅威ハンティングにおいてキャンペーンを特定しやすくする特徴となっています。

巧妙なDLLサイドローディング手口

攻撃の核心は、DLLサイドローディングというよく知られた手法にあります。これは、悪意のあるDLLファイルが正規の実行ファイルと同じディレクトリに配置されることで、Windowsが正規のライブラリの代わりに、あるいはそれに加えて攻撃者のコードをロードしてしまうものです。

今回のキャンペーンでは、「CoreMessaging.dll」という悪意のあるDLLが主要なペイロードとして使用されました。被害者がバンドルされた正規のEXEを実行すると、オペレーティングシステムはまずローカルディレクトリからDLL依存関係を解決するため、攻撃者が制御するCoreMessaging.dllがロードされてしまいます。これにより、脅威アクターは正規のアプリケーションが起動したかのように見せかけながら、コードを実行できるようになります。

このDLLには、以下のような特徴的な痕跡が見られます。

  • メタデータに含まれる不審な署名文字列:「Peastaking plenipotence ductileness chilopodous codicillary.」や「© 2026 Eosinophil LLC」といった偽の著作権表示。
  • 奇妙な英数字の組み合わせで構成されたエクスポート関数名:例として「15Mmm95ml1RbfjH1VUyelYFCf」や「2dlSKEtPzvo1mHDN4FYgv」。

これらの特徴は、関連するDLLや攻撃のさらなる段階を特定するための強力な手がかりとなります。

最終ペイロードと情報窃取の手口

サンドボックスでの分析により、感染チェーンが明確になっています。ZIPファイルが展開され、正規のEXEが実行されると、CoreMessaging.dllがサイドロードされ、その後新たなペイロードがドロップされて実行されます。これらの最終ペイロードは、情報窃取型マルウェアとして分類されています。

複数のYARAルールによって検出されるこれらのマルウェアは、仮想通貨ウォレットのブラウザ拡張機能IDやその他の機密データを収集する動作パターンを示しています。これは、標準的な認証情報窃取に加えて、仮想通貨資産の窃取を目的とした明確な金銭的動機があることを示唆しています。

最終ステージのペイロードも、behash「5ddb604194329c1f182d7ba74f6f5946」で追跡が可能であり、このbehashに一致するファイルは、この攻撃で使用された情報窃取型マルウェアファミリーと繰り返し関連付けられています。

防御策と脅威ハンティングの機会

このキャンペーンは、防御側にとっていくつかの具体的な検出およびハンティングの機会を提供します。

  • Malwarebytesに似た名前を持ち、最初のbehash「4acaac53c8340a8c236c91e68244e6cb」を共有するZIPアーカイブを監視する。
  • CoreMessaging.dllが関与するDLLサイドローディングを、不審なエクスポートや特徴的な署名文字列とともに監視する。
  • TXTファイルおよび両方のbehash値を、VirusTotal、EDRテレメトリ、および脅威インテリジェンスプラットフォームにおける脅威ハンティングのピボットとして活用する。
  • 信頼できないソースからダウンロードされた、予期せぬMalwarebytesの「インストーラー」やGitHubブランドのZIPファイルは、極めて疑わしいものとして扱うべきです。

この攻撃キャンペーンは短期間のものでしたが、インフラストラクチャ、DLLの特性、behash識別子の再利用により、セキュリティチームは比較的容易に追跡できます。これは、信頼されたブランドが依然として認証情報窃取を狙う強力な誘い文句であることを再認識させる警鐘となります。

元記事: https://gbhackers.com/user-credentials/

投稿をさらに読み込む