Caminhoマルウェアローダーの概要
サイバーセキュリティ研究者たちは、日常的な画像をマルウェアのトロイの木馬に変える巧妙な新脅威「Caminho」を発見しました。Caminhoは、2025年3月から活動しているブラジルのLoader-as-a-Service(LaaS)であり、Least Significant Bit(LSB)ステガノグラフィーを使用して、.NETペイロードを画像ファイル内に隠蔽します。これらの悪意のあるファイルは、archive.orgのような信頼できるサイトでホストされており、リモートアクセスツールや情報窃取型マルウェアを検知されずに送り込むことを可能にしています。
巧妙な攻撃手法
攻撃は、偽の請求書や緊急の見積もりなど、ソーシャルエンジニアリングの餌を仕込んだスピアフィッシングメールから始まります。これらのメールには、JavaScriptまたはVBScriptファイルを含むRARまたはZIPアーカイブが添付されています。一度開かれると、これらのスクリプトはpaste.eeのようなペーストビンサービスから難読化されたPowerShellコードをフェッチします。このPowerShellスクリプトは、一見無害な画像を正規のアーカイブからダウンロードします。これらのJPGまたはPNGファイル内に隠されているのが、ポルトガル語で「道」を意味するCaminhoという名前の.NETローダーです。
このローダーは、LSBステガノグラフィーによって抽出されます。これは、ピクセルカラーの最下位ビットを調整して悪意のあるデータをエンコードする技術で、画像の見た目を変更することなく行われます。PowerShellスクリプトは、画像内の固有のバイトシグネチャをスキャンし、埋め込まれたペイロードを分離して、ディスクへの書き込みを回避しながらメモリに直接ロードします。そこから、ローダーは最終的なマルウェアをcalc.exeのような良性のプロセスに注入し、スケジュールされたタスクを通じて1分ごとにチェーンを再実行する永続化メカニズムを設定します。
このファイルレスアプローチは、VM検出やデバッガーチェックのようなアンチ分析トリックと相まって、Caminhoの発見を非常に困難にしています。研究者たちは71のサンプルを分析し、すべてに強力な難読化が施されていましたが、一貫したポルトガル語の文字列とHackForumsの名前空間が見られ、再利用のために構築されたモジュラー設計を示唆しています。
多様なペイロードとビジネスモデル
Caminhoを際立たせているのは、そのビジネスモデルです。これは、オペレーターがカスタムマルウェアを配信するためにローダーをレンタルするサービスであり、柔軟性のために任意のURLを引数として受け入れます。観測されたペイロードには、リモート制御用の多機能なREMCOS RAT、XWorm、そして資格情報窃取型のKatz Stealerが含まれています。同じステガノグラフィー画像が異なる最終目標を持つキャンペーンで出現しており、このレンタル設定とペイロードの多様性を裏付けています。
インフラと標的
インフラは、画像用のarchive.orgやスクリプト用のペーストサイトといった正規のプラットフォームと、テイクダウンを回避することで知られるRailnet LLCのようなプロバイダー上の堅牢なC2サーバーを組み合わせています。Caminhoは、変数、エラー、コメントにポルトガル語のコードが広く使用されていること、および南米で始まり現地の営業時間中にピークを迎えるターゲティングから、ブラジルに高い確度で帰属するとされています。被害者はブラジル、南アフリカ、ウクライナ、ポーランドの様々な産業に及び、ステガノグラフィーが運用を成熟させた6月以降、地理的な広がりが加速しています。これは国家主導の活動ではなく、正規のトラフィックを妨害することなく従来のブロックを回避するために信頼されたサイトを悪用する、金銭目的のサイバー犯罪です。
対策と専門家の提言
このような脅威が増大する中、専門家は多層的な防御を強く推奨しています。サンドボックスによる添付ファイルの検査、PowerShellのログ記録、そして行動上の危険信号を捉えるためのAI駆動型EDR(Endpoint Detection and Response)が重要です。Caminhoは、ステガノグラフィーがもはやニッチな技術ではなく、検知との軍拡競争において注目を回避するための主要な手段となっていることを示しています。このキャンペーンは2025年10月現在も活動を続けており、組織は感染へのこれらの隠された経路に対して警戒を怠らない必要があります。