概要
新たに観測されたマルウェアキャンペーンでは、信頼できるプラットフォームである Google Forms を使用して PureHVNC Remote Access Trojan (RAT) の配布を行っています。この攻撃は従来のフィッシングメールや悪意のある Web サイトを用いた手法から一転し、求人面接やプロジェクト提案、財務文書などのビジネス関連の罠を使用して被害者にマルウェアのダウンロードを仕掛けます。
攻撃の手口
攻撃は、金融、物流、テクノロジーなど様々な業界の大手企業を模倣した Google Forms から始まります。これらのフォームはプロフェッショナルな詳細情報(経験や背景)を求め、実際の採用またはパートナーシップワークフローを模倣しています。
被害者は次に、Dropbox や filedn.com などのファイル共有プラットフォーム上にホストされた ZIP アーカイブをダウンロードするよう誘導されます。これらのアーカイブは URL 短縮サービスや Google リダイレクトリンクを通じて提供されることが多く、ビジネスの文脈に関連した名前(例:「Project_Information_Summary_2026.zip」)でマスクされています。
PureHVNC の詳細
PureHVNC は、「Pure」というマルウェアファミリーから派生したモジュール式の .NET RAT です。この RATS は、攻撃者が感染したデバイスをリモートで制御し、機密情報を盗むことを可能にします。
マルウェアの展開プロセス
- 初期段階: マルウェアは ZIP アーカイブ内に含まれる合法的な PDF と混在し、ユーザーがダウンロードするように仕向けています。
- マルウェアの実行: ユーザーが ZIP アーカイブを解凍すると、悪意のある DLL が起動します。この DLL は、デバッグが検出された場合に偽のエラーメッセージで実行を停止し、ユーザーを誤導するためのダミーファイル(PDF)を開きます。
- 持続性の確立: マルウェアは Windows レジストリキー CurrentVersion
un
ame に登録され、システム再起動後も実行を継続します。 - 最終的な展開: 最終的には PureHVNC が合法なプロセス(例:SearchUI.exe)にインジェクトされ、攻撃者が完全なリモート制御を得ます。これにより、システム情報の収集やデータ漏洩などが可能になります。
対策と注意点
このキャンペーンは、信頼できるプラットフォームを悪用することで効果的です。Google Forms や LinkedIn などの合法的なファイルホスティングサービスを通じてユーザーの信頼性を剥奪し、従来のセキュリティフィルターを迂回します。
ユーザーと組織は、非公式な求人オファーまたはプロジェクト要求に対処する際には慎重になるべきです。不審な Google Forms からファイルをダウンロードしたり、短縮 URL をクリックすることなく確認を行ってください。