概要
セキュリティ研究者らは、大規模な標的型フィッシングキャンペーンがVIP Keyloggerの変種を配布していることを発見しました。このキャンペーンは、ステガノグラフィー、メモリ内実行、モジュール型ペイロード設計を用いて防御を回避しつつ、ブラウザ、メールクライアント、コラボレーションツールから資格情報を収集しています。
キャンペーンの詳細
このキャンペーンでは、偽の購入注文メールが送信され、受信者が添付のRARファイルを開くよう誘導します。RARファイル内には、スプレッドシートとして偽装された実行可能ファイル(ÜRÜN ÇİZİMİ VE TEKNİK ÖZELLİKLERİ_xlsx.exe)が含まれています。このファイルは実行されると、VIP_Keyloggerを直接メモリにロードし、ディスクにコンポーネントをドロップすることなく動作します。
攻撃の手法
攻撃者は、ステガノグラフィーを使用してDLLを隠し、Kernel32.dllやNtdll.dllから関数を動的に取得してVIP_Keyloggerを展開します。これにより、プロセスホローイングの典型的なインジケーターが見られます。
マルウェアの機能
VIP_Keyloggerは、40以上のChromiumベースのブラウザから資格情報、ブラウザクッキー、フォーム自動入力、保存された支払いデータを盗み、SQLiteデータベースファイルに保存します。AES-256 GCM暗号化を使用しているブラウザの場合、マスターキーを抽出してパスワードを復号化します。
情報漏洩の方法
盗まれた情報は、FTP、Telegram、Discord、ウェブPOSTリクエスト、特にSMTPを介してエクスフリートレーションされます。
対策
組織は、信頼性のあるエンドポイント保護ソリューションを展開し、ヘューリスティックスキャンを有効にし、注文や請求書の添付ファイルを装ったフィッシングメールを認識するためのユーザー教育を行うことを強く推奨します。