概要
新たな悪質なキャンペーンが、これまでの「ClickFix」攻撃手法と偽のCAPTCHA、そして署名済みのMicrosoft Application Virtualization (App-V) スクリプトを組み合わせ、最終的にAmatera情報窃取マルウェアを拡散しています。Microsoft App-Vスクリプトは、攻撃者が悪意のある活動を偽装するために、信頼されたMicrosoftコンポーネントを介してPowerShellの実行をプロキシする、Living-off-the-Land (LotL) バイナリとして機能します。これは、情報窃取マルウェアを拡散するClickFix攻撃でこの種のファイルが悪用された初の事例であると、BlackPoint Cyberが報告しています。
攻撃の仕組み
攻撃は、偽のCAPTCHAによる人間認証チェックから開始されます。被害者は、Windowsの「ファイル名を指定して実行」ダイアログに特定のコマンドを手動で貼り付けて実行するよう指示されます。
貼り付けられたコマンドは、正規のApp-VスクリプトSyncAppvPublishingServer.vbsを悪用します。このスクリプトは通常、仮想化されたエンタープライズアプリケーションの公開と管理に使用されますが、今回は信頼されたwscript.exeバイナリを介して実行され、PowerShellを起動します。
初期段階では、マルウェアローダーがサンドボックス環境で実行されないように、以下の検証が行われます。
- ユーザーによる手動実行であること。
- 実行順序が期待通りであること。
- クリップボードの内容が変更されていないこと。
BlackPoint Cyberの研究者によると、分析環境が検出された場合、実行は無限待機を用いてサイレントに停止し、自動分析リソースを浪費させることが目的とされます。
これらの条件が満たされると、マルウェアは公開されているGoogleカレンダーファイルから設定データを取得します。このファイルには、特定のイベント内にBase64エンコードされた設定値が含まれています。
攻撃の後半では、Windows Management Instrumentation (WMI) フレームワークを介して32ビットの隠れたPowerShellプロセスが生成され、複数の埋め込みペイロードが復号されてメモリにロードされます。感染チェーンは、さらにステガノグラフィーを利用してペイロードを隠蔽します。暗号化されたPowerShellペイロードは、公開CDNでホストされているPNG画像に埋め込まれ、WinINet APIを介して動的に取得されます。
ペイロードデータはLSB(最下位ビット)ステガノグラフィーによって画像から抽出され、復号、GZip解凍された後、完全にメモリ上で実行されます。最終的なPowerShellステージは、ネイティブシェルコードを復号・実行し、これによりAmateraインフォスティーラーが起動します。
Amateraインフォスティーラーについて
Amateraはホスト上でアクティブになると、ハードコードされたIPアドレスに接続してエンドポイントマッピングを取得し、HTTP POSTリクエストを介して追加のバイナリペイロードを待ち受けます。BlackPoint CyberはAmateraマルウェアを、感染したシステムからブラウザデータや認証情報を収集できる標準的なインフォスティーラーと分類しています。
Amateraはコードの重複からACRインフォスティーラーをベースにしており、サービスとしてのマルウェア(MaaS)として提供され、活発に開発が進められています。Proofpointの研究者らは、昨年発表された報告書で、Amateraが更新を重ねるごとに高度化していると述べています。
対策
研究者らは、これらの攻撃から防御するための対策として、以下を推奨しています。
- グループポリシーを介してWindowsの「ファイル名を指定して実行」ダイアログへのアクセスを制限する。
- 不要なApp-Vコンポーネントを削除する。
- PowerShellのログを有効化する。
- HTTP HostヘッダーまたはTLS SNIと宛先IPの間の不一致がないか、アウトバウンド接続を監視する。