概要
新しい Windows ステーラーである BoryptGrab が、無料ツールやゲームチート、人気ユーティリティを装った偽の GitHub リポジトリを悪用する大規模なキャンペーンを通じて配布されています。このマルウェアは、ブラウザデータ、暗号通貨ウォレット情報、システム詳細を盗み、スクリーンショット、Telegram データ、Discord トークン、保存されたパスワードを取得します。
キャンペーンの詳細
攻撃者は、検索エンジンで上位に表示されるように SEO で詰め込んだ README ファイルを使用して、100 個以上の公開 GitHub リポジトリを作成しました。これらのリポジトリは、「Voicemod Pro ダウンロードツール」、「Valorant パフォーマンス向上」、「CS2 スキンチェンジャー」などのアイテムを宣伝しています。
攻撃の手順
- 被害者が README リンクをクリックすると、GitHub ホストのページにリダイレクトされ、ロシア語のコメントと base64/AES ベースの URL リダイレクトロジックが表示されます。
- 最終的に、偽の GitHub ダウンロードページに到達し、悪意のある ZIP アーカイブが動的に生成されます。
インストールと展開
ZIP ファイル内では、インストールは DLL サイドローディングチェーンまたは VBS/PowerShell ダウンローダーを使用して開始されます。これらのランチャーは、攻撃者制御インフラストラクチャからランチャー実行可能ファイルを取得します。
攻撃者のインフラストラクチャ
インフラストラクチャは、Vidar ステーラーの変種を XOR 暗号化文字列、不透明な述語、動的 API 解析を使用して配信します。これにより、Vidar スタイルの HTTP POST トラフィックでデータをエクスフィラートすることが可能になります。
攻撃の影響
BoryptGrab は、Chrome、Edge、Firefox、Opera、Brave、Vivaldi、Yandex などのブラウザの資格情報を盗み、暗号通貨ウォレットのファイル、スクリーンショット、システム情報を収集します。
防御者へのアドバイス
SEO 毒素を使用した GitHub リポジトリ、レイヤー化されたダウンローダー、複数のステーラー、SSH ベースのバックドアを使用するこのキャンペーンは、