概要
ITプロフェッショナルを標的にする悪意のあるマルウェアキャンペーンが進行中です。このキャンペーンは、仮想通貨やWeb3、AIの分野で活躍する人々に対して、機密データと生の仮想通貨資金を盗むことを目的としています。
攻撃手法
攻撃者はリクルーターを装い、偽のNPMパッケージを使用して「技術テスト」プロジェクトを通じてスクリプトベースのマルウェアを配布します。これらのパッケージは、被害者が実行すると、悪意のあるJavaScriptローダーがインストールされ、これが次に続くステージへのパスを作ります。
主要なマルウェアファミリー
このキャンペーンでは、BeaverTailとInvisibleFerretという名前の2つの主要なマルウェアファミリーが使用されています。これらのマルウェアは、データ盗難やウォレットターゲティングの機能を備えています。
MetaMaskウォレットへの攻撃
最近の分析では、操作者がMetaMaskブラウザウォレットエクステンションを操作し、通常のジョブアサインメントを完全なリモートアクセスと直接的な仮想通貨盗難に変換する能力を持っていることが明らかになりました。
攻撃チェーン
このマルウェアは、ファイル探索とエクスフィレーションのためのスクリプト(p.js)、軽量なバックドアとして機能するスクリプト(n.js)を使用します。これらのスクリプトは、WindowsやmacOSで高価値のシークレットやウォレットアーティファクトを探索し、エクスフィレーションを行います。
MetaMaskの操作
攻撃者は、Chromiumベースのブラウザ(ChromeやBraveなど)にターゲットを絞り、悪意のある拡張アーカイブをダウンロードし、正当なMetaMaskエクステンションディレクトリをトロイ化されたバージョンで置き換えます。これにより、ユーザーは偽のMetaMaskウォレットを使用することになり、その結果として資格情報が盗まれます。
インジケーターオブコムプロイス(IOCs)
- NPMパッケージ: poker_top.tar.gz (800ffb10a79370991c5c918f572fe192)
- トロイ化されたJavaScript: /routes/api/users.js (8e6db10b5acc15c2cc54592e3dd49bf7)
- 中間スタガー: test.js (ddec84f075036f4afee55e708987b05a)
- ファイルエクスフィレーションバックドア: p.js (687b235572f3b35c0eb5c6c742862db4)
- 軽量なバックドア: n.js (6d3f1aeed4feca39cb5d53f59bf6d9a5)
- MetaMaskウォレットスイッチャー: y.js (6244da9940f50b9f51e3d85766cb1226)
- トロイ化されたMetaMaskスクリプト: background-2.js (d423bf6b18662aed88ddd69c72b4e116)
C2アドレス:
- 45.43.11.248:1244
- 45.43.11.200:1244
- 67.203.7.205:1244
- 202.163.147.124:1248
- 145.59.1.45:1244
- 66.235.28.238:1249
- 66.235.168.238:1244
- 147.124.202.163:1243