偽のTelegramダウンロードサイトがステルス型のメモリ内マルウェアを配布

概要

セキュリティ研究者らは、ユーザーの信頼を利用してTelegramのインストーラーを偽装したダウンロードサイトが、ステルス型のメモリ内マルウェアを配布していることを報告しました。

この新しいマルウェアキャンペーンは、ユーザーがTelegramの公式インストーラーを探しているときに偽装したサイトを通じて展開されます。そのサイトはtelegrgam[.]comというドメインを使用し、公式のダウンロードページを模倣しています。

このファイルは、正規のTelegramインストーラーと混在してインストールされ、不審な動作を避けるためにユーザーに偽装します。また、マルウェアはWindows Defenderの設定を変更し、システムドライブを除外リストに追加することで、ウイルス対策のスキャンを無効化します。

インストール後、マルウェアは複数のステージで攻撃チェーンを展開し、システムに感染するためのレジストリエントリを作成します。また、C:\Users<User>\AppData\Roaming\Embarcaderoディレクトリにマルウェアのコンポーネントをドロップします。

さらに、は、正当なTelegramインストーラーも配布します。これにより、ユーザーが正規のアプリケーションをインストールしたと誤解させることができます。

マルウェアは、DLLファイルAutoRecoverDat.dllを使用して、PE形式のpayloadを動的に生成します。このpayloadは、ディスクに書き込まれることなく、直接メモリ上にロードされます。

さらに、rundll32.exeを使用してDLLが実行され、正当なWindowsプロセス内で動作します。これにより、マルウェアは通常のシステム活動と混在し、検出を避けることができます。

マルウェアは、27[.]50[.]59[.]77:18852というIPアドレスとポートを使用してC&Cサーバに接続します。これにより、攻撃者はリモートコマンドの実行やデータ漏洩を可能にします。

この機能は、攻撃者がマルウェアの能力を進化させることを容易にします。

ユーザーは公式サイトからソフトウェアをダウンロードし、ドメインの正当性を確認することを強く推奨します。また、以下のIOCsも注意深く監視してください。

このキャンペーンは、ローダー型マルウェアの進化を示しています。特に、メモリ内実行と正当なシステムツールを使用して検出を回避する手法が特徴的です。

元記事: https://gbhackers.com/fake-telegram-download/