サイバーニュース.jp

世界のサイバーなニュースを配信

ハッカーが裁判所を装ったフィッシングで情報窃取マルウェアを拡散

カテゴリ:

, , , , , , , , ,

概要

コロンビアのユーザーを標的とした新たなフィッシングキャンペーンが確認されました。この攻撃は、裁判所の通知を装い、SVG(Scalable Vector Graphics)ファイルを悪用して、最終的にAsyncRATリモートアクセス型トロイの木馬(RAT)を送り込むものです。

攻撃者は、ボゴタの「第17地方民事裁判所」を偽装したスペイン語のメールを送りつけ、正式な法的文書を装うことで受信者を欺きます。添付された「Fiscalia General De La Nacion Juzgado Civil 17.svg」というファイルが、多段階の感染チェーンの引き金となります。

巧妙なフィッシングキャンペーンの詳細

フィッシングメールは、ボゴタの地方民事裁判所の様式を模倣しており、法的措置に関する偽の通知を提示します。メール本文はスペイン語で、「あなたに対して提出された訴状が添付されています。ボゴタ第17地方民事裁判所。2025年9月11日。敬具、司法通知システム」と記載されています。

攻撃者は、首都の司法システムを引用することで、地理的な信頼性を悪用し、初期の疑念を回避しようとします。

多段階にわたる感染経路

この攻撃の感染経路は非常に複雑です。

  • 添付されたSVGファイルは、ピクセルベースのフォーマットとは異なり、onclickハンドラを含むXMLベースの命令を含んでいます。
  • ユーザーが画像をクリックすると、埋め込まれたJavaScriptがBase64エンコードされたHTMLブロブをデコードし、偽の「司法長官事務所」の相談ポータルとして開きます。
  • その後、被害者は公式文書を装ったHTAファイルのダウンロードを促されます。
  • 「DOWNLOAD DOCUMENTO_OFICIAL_JUZGADO.HTA」をクリックすると、ユーザーは知らず知らずのうちにクライアントサイドのドロッパーを実行します。
  • HTAファイルは、ジャンクコード内に悪意のあるペイロードを隠し、大きなBase64ブロックをデコードしてactualiza.vbsを生成します。
  • このVisual Basicスクリプトは、PowerShellダウンローダー(veooZ.ps1)を書き込み、実行します。
  • PowerShellスクリプトは、攻撃者が制御するサーバーからテキストファイル(Ysemg.txt)を取得し、プレースホルダー文字を置換してクリーンアップおよびデコードし、classlibrary3.dllを生成します。
  • この.NET DLLはモジュールローダーとして機能し、インジェクターコンポーネントをデコードして書き込み、AsyncRATペイロードを取得し、.NETリフレクションを使用してMSBuild.exeにAsyncRATをインジェクトします。

サンドボックス検出を回避するため、ローダーはVirtualBoxおよびVMwareプロセスをチェックし、分析環境を検出した場合は中止します。また、オプションの永続化方法(レジストリのRunキーまたはスタートアップショートカット)もサポートしていますが、このキャンペーンではレジストリ方式は無効化されていました。

AsyncRATの高度な機能

AsyncRATは.NET実行可能ファイルとして到着し、MSBuild.exeのコンテキスト内で完全にメモリ上で実行されます。これは、システム詳細(ハードウェア識別子、オペレーティングシステムバージョン、ユーザー権限、インストールされているアンチウイルス製品、ウェブカメラの有無)を収集することから始まります。

ファイルは高度に難読化されており、XOR演算やシフト演算ループを使用してこれらの難読化された値をデコードします。昇格された権限の有無をチェックし、永続化戦略を決定します(管理者として実行されている場合はスケジュールされたタスクを作成し、それ以外の場合はHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに書き込みます)。

このRATは、AMSIバイパス技術を含むアンチ分析およびアンチVMチェックを採用し、監視ツール(Taskmgr.exe、ProcessHacker.exe)を検索してそれらを終了させます。コマンド&コントロールサーバーへのTLS暗号化チャネルを確立し、プラグインを動的にロードし、MessagePackでパッケージ化された盗まれたデータを外部に送信します。AsyncRATは、キーロギング、ファイル管理、リモートシェル実行、ウェブカメラ監視もサポートしています。

検出状況と推奨される対策

このキャンペーンの分析時、添付されたSVGファイルはQuickHeal/Seqriteによってのみ検出されていました。これは、多くの従来の防御策を迂回することに成功していることを示唆しています。

このような多面的な脅威から防御するためには、異常なSVGの挙動に注意を払い、厳格なメール添付ファイルポリシーを施行することが不可欠です。

元記事: https://gbhackers.com/info-stealer-malware/

投稿をさらに読み込む