サイバーニュース.jp

世界のサイバーなニュースを配信

新型マルウェア「TamperedChef」、生産性ツールを悪用し機密データを窃取

カテゴリ:

, , , , , , , , ,

「TamperedChef」マルウェアの概要

「TamperedChef」と名付けられた巧妙なマルウェアキャンペーンが、トロイの木馬化された生産性ツールを悪用しています。これらのツールは一見無害なアプリケーションを装い、セキュリティ制御を回避し、永続性を確立し、標的システムから機密情報を窃取します。

2025年9月22日、Field Effectの研究者がMicrosoft Defenderによってフラグが立てられた「望ましくない可能性のあるアプリケーション(PUA)」を調査した結果、2つの悪意のあるアプリケーション、ImageLooker.exeとCalendaromatic.exeを発見しました。これらは自己解凍型7-Zipアーカイブを介して配信されていました。両方の実行ファイルは、以前にも欺瞞的なCalendaromaticサンプルに関連付けられていたCROWN SKY LLCからの有効なデジタル署名を持っていました。

初期感染経路と回避技術

これらのアーティファクトは、PUAとコード署名されたバイナリを武器にして評判ベースの防御をすり抜ける、より広範なTamperedChefマルウェアキャンペーンと一致することが判明しました。初期感染経路は、生産性ユーティリティを装った自己解凍型7-Zipアーカイブに依存しています。

ImageLooker.exeとCalendaromatic.exeはどちらもNeutralinoJS上に構築されており、軽量なデスクトップフレームワーク内で任意のJavaScript実行を可能にします。起動されると、各バイナリはユーザーの介入なしに自動的にペイロードを抽出し、Windowsの「Webのマーク」保護やSmartScreenなどの評判フィルターを回避します。これは、CVE-2025-0411を悪用して標準のアーカイブ警告を無効にしている可能性が高いです。

CROWN SKY LLC、APPSOLUTE、OneStart Technologies LLCなど、多数のパブリッシャーからのデジタル署名が、実行ファイルに正当性の見せかけを与えています。この広範な疑わしい署名エンティティは、キャンペーンがマルウェア・アズ・ア・サービスプロバイダーまたはコード署名マーケットプレイスを利用して配布されていることを示唆しています。

隠れた実行と永続化

一度実行されると、マルウェアの亜種はImageLookerの場合はmovementxview[.]com、Calendaromaticの場合はcalendaromatic[.]comといったコマンド&コントロール(C2)ドメインに接続し、追加のペイロードを取得します。これらは、--install--enableupdate--fullupdateなどのコマンドラインフラグを利用して、スケジュールされたタスクとレジストリの変更を通じて永続性を確立し、継続的な実行とステルスな更新を保証します。

特に注目すべきは、TamperedChefがUnicodeホモグリフを使用して、一見無害なAPI応答内に隠されたペイロードをエンコードしている点です。この技術は、コード内の視覚的に同一な文字を置き換えることで、文字列ベースの検出とシグネチャマッチングを回避し、悪意のある機能を良性のスクリプト内に効果的に隠蔽します。

足がかりを確立した後、両方のマルウェアサンプルはNeutralinoJSを使用してネイティブシステムAPIと対話し、隠れたファイルシステムアクセスとプロセス生成を可能にします。ネットワークトラフィック分析により、住宅用プロキシサービスやアドウェアスタイルのインフラストラクチャへの外部接続が明らかになり、ブラウザハイジャッカーコンポーネントの再利用が示唆されています。

マルウェアの機能とデータ窃取

マルウェアは以下の行動を実行します:

  • ブラウザに保存された認証情報とセッショントークンを収集します。
  • ドキュメントファイルと設定データを外部に送信します。
  • 設定を変更してブラウザトラフィックを悪意のあるページにリダイレクトします。

この認証情報の窃取と偵察への重点は、長期的なスパイ活動またはその後のアクセスを目的としたキャンペーンであることを示しています。

配布方法

TamperedChefの配布は、SEOポイズニングと欺瞞的な広告に大きく依存しています。「無料のPDFエディター」、「Windows用カレンダーアプリ」、「画像ビューアのダウンロード」といったキーワードが詰め込まれたランディングページは、正規のダウンロードサイトを模倣し、偽のレビューや信頼バッジが完備されています。スポンサー付き検索結果やマルバタイジングバナーは、無害に見える自己解凍型アーカイブに被害者を誘導し、ダウンロードされると悪意のあるペイロードが起動されます。

推奨される緩和策

組織およびエンドユーザーは、ウェブ検索から見慣れないユーティリティをインストールする際に警戒を怠らないようにする必要があります。推奨される防御策は以下の通りです:

  • コード署名証明書の厳格な検証。
  • 新しく作成されたスケジュールされたタスクやレジストリエントリに対するエンドポイント監視。
  • 既知の悪意のあるドメインへの外部接続のネットワーク検出。
  • PUAおよび自己解凍型アーカイブのサンドボックス分析。

キャンペーンがPUAを配信メカニズムとして進化させていることを考えると、従来の評判ベースの防御では不十分である可能性があります。行動ベースの検出と堅牢なアプリケーションの許可リスト(ホワイトリスト)を実装することで、トロイの木馬化されたツールが実行される前にブロックするのに役立ちます。

結論

TamperedChefキャンペーンは、脅威アクターが望ましくない可能性のあるアプリケーションを武器にし、デジタルコード署名を悪用し、隠れたエンコード技術を使用して検出を回避する方法を示しています。生産性ツールを装い、自己解凍型アーカイブを利用することで、これらの攻撃者は一般的なユーザー行動(スポンサー付きの結果をクリックしたり、無料ユーティリティをダウンロードしたりすること)を悪用し、アクセスを獲得し、認証情報を収集し、機密データを外部に送信します。

デジタル署名されたバイナリと欺瞞的なパッケージングに対する厳格な監視、および行動ベースの監視を組み合わせることが、この新たな脅威に対抗するために不可欠です。

元記事: https://gbhackers.com/tamperedchef-malware-exploits-productivity-tools/

投稿をさらに読み込む