はじめに:Water Saciマルウェアの新たな進化
Trend Micro Researchは、攻撃的なWater Saciマルウェアキャンペーンにおける重大な進化を特定しました。このキャンペーンは、従来の.NETベースの配信方法を捨て、洗練されたスクリプト駆動型の手法を採用した新しい感染経路を明らかにしています。
2025年10月8日、研究者たちはWhatsApp Webセッションから発信されたファイルダウンロードを発見しました。これらはVisual Basic ScriptダウンローダーとPowerShellスクリプトを利用して、SORVEPOTELマルウェアを拡散しており、脅威アクターの運用能力における危険な変化を示しています。
このキャンペーンは引き続きWhatsAppを主要な感染経路として利用し、マルウェアは侵害されたアカウントに関連するすべての連絡先とグループに「Orcamento-2025*.zip」という名前の悪意のあるZIPファイルを自動的に配布しています。この進化は、攻撃者が回避効果を維持しつつ、ブラジルの高度に接続されたメッセージングプラットフォームエコシステム全体で伝播活動を拡大しようとする意図を示しています。
新たな攻撃チェーンの詳細
新しい攻撃チェーンは、ユーザーが疑わしいZIPアーカイブをダウンロードして解凍するところから始まります。このアーカイブには、難読化されたVisual Basic Scriptダウンローダーが含まれています。このダウンローダーは、New-Object Net.WebClientメソッドを使用して、システムメモリ内で直接ファイルレスペイロードを実行するPowerShellコマンドを発行します。
ダウンロードされたPowerShellスクリプトは、内部的に「whatsapp_automation_v6_robust.ps1」と名付けられており、WhatsApp Webセッションのハイジャック、連絡先リストの収集、自動配布キャンペーンの調整といった洗練された作業を処理します。実行時、マルウェアは「WhatsApp Automation v6.0」と主張する欺瞞的なバナーを表示し、その悪意のある性質をあたかも正当なソフトウェアであるかのように偽装します。
マルウェアはC:\tempに一時的なワークスペースを作成し、GitHubから最新のWhatsApp自動化ライブラリ(WA-JS)をダウンロードし、悪意のあるZIPペイロードを取得します。攻撃チェーン全体でポルトガル語が継続的に使用されていることから、脅威アクターが特にブラジルの被害者を標的にしていることが示唆されます。このスクリプトは、hxxps://miportuarios[.]com/sisti/config[.]phpのコマンド&コントロール(C2)インフラストラクチャと直ちに連絡を取り、ターゲットリスト、メッセージテンプレート、タイミング設定などの運用パラメータをダウンロードします。
高度なブラウザハイジャックメカニズム
このマルウェアは、ブラウザ自動化のためにインストールされているChromeのバージョンを確認し、適切なChromeDriverをダウンロードすることで、高度な技術的能力を示しています。その後、Selenium PowerShellモジュールをインストールして、自動ブラウザ制御を可能にします。
既存のChromeプロセスを終了し、古いセッションをクリアした後、マルウェアは被害者の正当なChromeプロファイルデータ(クッキー、認証トークン、保存されたブラウザセッションを含む)を一時的なワークスペースにコピーします。永続性を確立する前に、マルウェアはWMIベースのミューテックスメカニズムを実装して、複数のインスタンスが同時に実行されるのを防ぎます。
この技術により、マルウェアはWhatsApp Webの認証を完全にバイパスし、セキュリティアラートをトリガーしたり、QRコードのスキャンを要求したりすることなく、即座にアクセスを獲得します。ハイジャックされたセッションが確立されると、マルウェアは検出を回避するために設計された特定の自動化フラグでChromeを起動し、WA-JSライブラリを注入してWhatsAppを完全に制御します。そして、洗練されたJavaScriptフィルタリングを使用してWhatsAppの連絡先を体系的に収集し、キャンペーン調整のために直ちにC2サーバーに連絡先リストを流出させます。
多チャンネルコマンド&コントロール
このバックドアの最も洗練された側面は、そのデュアルチャンネル通信アーキテクチャにあります。マルウェアはHTTPベースの通信のみに依存するのではなく、ハードコードされた認証情報を使用してterra.com.brのメールアカウントへのIMAP接続を利用します。記事に記載されたメールアドレスの他に、攻撃者は異なるドメインとパスワードを持つ他のメールも使用していることが観察されました。
このメールベースのインフラストラクチャは、C2サーバーのURLを取得し、攻撃者に検出と妨害を困難にする回復力のあるフォールバック通信チャネルを提供します。マルウェアは、攻撃者が拡散キャンペーンをリアルタイムで一時停止、再開、監視できる高度なリモート制御システムを実装しています。すべての連絡先への送信前およびメッセージ遅延中に、マルウェアは運用状況を確認するGETリクエストを送信し、配布活動を継続するか中断するかを決定するJSON応答を受け取ります。この洗練されたボットネットのような機能は、感染したエンドポイントを同期された操作が可能な調整されたネットワークに変えます。
推奨事項
.NETベースのペイロードからスクリプト駆動型の配信メカニズムへの進化は、脅威アクターの適応性と高度化を示しています。Trend Microは、企業がセキュリティポリシーを見直し、従業員にソーシャルエンジニアリングの脅威について教育し、ブラジルで広く普及しているメッセージングプラットフォームの採用を悪用するこれらの進化するバンキング型トロイの木馬キャンペーンを軽減するために、堅牢な検出機能を実装することを強調しています。