はじめに
CyberProofのセキュリティ研究者たちは、2つの高度なバンキング型トロイの木馬、MaverickとCoyoteの間に重要な関連性があることを発見しました。これらのマルウェアは、WhatsAppを通じてブラジルのユーザーを積極的に標的にしています。この発見は、メッセージングプラットフォームを介して報告された不審なファイルダウンロード事件の調査から始まり、両マルウェアファミリー間の驚くべき類似性を明らかにする包括的な脅威分析へとつながりました。
調査の詳細
調査は、CyberProofのSOCチームと脅威ハンターがWhatsAppからのダウンロードに起因する悪意のあるファイル活動を検出したことから始まりました。完全な感染経路は、コマンド&コントロール(C2)接続の失敗により特定が困難でしたが、VirusTotalのハンティング技術により、ブラジルを標的としたキャンペーンに関連する追加のサンプルが収集されました。このデータをKaspersky、Sophos、Trend Microなどのセキュリティ企業の公開研究と相互参照することで、これらのバンキング型トロイの木馬と、WhatsAppワームやSorvepotelマルウェアなどの以前の亜種との関係が確認されました。
技術分析:MaverickとCoyoteの類似点
技術分析により、MaverickとCoyoteの間には顕著な類似点があることが判明し、コードの共有または関連する脅威アクターによる開発の可能性が示唆されています。
- 両マルウェアはWhatsAppを介して拡散し、ショートカット(.lnk)ファイルから始まる同一の感染経路を採用しています。
- これらの.lnkファイルは、多段階攻撃でPowerShellプロセスを生成します。
- 標的となるバンキングURLを復号するために同じ暗号化アルゴリズムを使用しています。
- バンキングアプリケーションを監視するためのほぼ同一のルーチンを実装しています。
- 両ファミリーは.NETで記述されており、特にブラジルの金融機関とそのユーザーを標的にしています。
さらに、次のPowerShell.exeは109.176.30.141とのアウトバウンド接続を確立し、C2サーバーへのアウトバウンド接続を示しています。
Maverickの攻撃チェーンと回避技術
Maverickの感染で観察された攻撃チェーンは、高度な難読化技術を示しています。研究者たちは、web.whatsapp.comからダウンロードされた悪意のあるzipファイルに、Base64およびUTF-16LEエンコーディングと組み合わせたネストされたfor-loop構造を使用して複雑なPowerShellコマンドを構築する難読化されたコードが含まれていることを特定しました。このアプローチは、悪意のあるコマンドを複数の変数に分散させ、文字列マッチングによるセキュリティツールの検出を回避します。
実行されると、これらのコマンドは攻撃者によって制御されるインフラストラクチャからセカンドステージのペイロードをダウンロードし、Microsoft Defenderの保護をオフにし、ユーザーアカウント制御(UAC)を無効にします。セカンドステージのペイロードは、ファイルレス実行技術を使用する.NETローダーとして機能します。このローダーは、コマンド&コントロール通信を確立する前に、リバースエンジニアリングツールを検出するためのアンチ分析チェックを実行します。Kasperskyの研究によると、C2が稼働している場合にのみ、次のステージに進みます。異なるブラウザのチェックも行われます。
接続が成功すると、WhatsApp Webセッションをハイジャックするように設計されたコンポーネントや、プライマリエージェントに埋め込まれたバンキング情報窃取モジュールなど、特殊なモジュールがダウンロードされます。
共有されるインフラストラクチャと攻撃パターン
Maverickは、Bradesco、Banco do Brasil、Itaúなどの主要銀行や、Binance、Foxbitなどの暗号通貨取引所を含むブラジルの金融機関を特に標的にしています。MaverickとCoyoteの両方で、標的となるブラジルのバンキングウェブサイトURLを復号するために同様の暗号化が使用されていることが確認されています。両者とも、Base64に保存された銀行URLを復号するためにAES + GZIPを使用することが知られています。Maverickエージェントでは、CBCモードでAESコードとキー、IVが使用されていることが示されています。
マルウェアは、「HealthApp-[GUID].bat」という命名パターンに従ってWindowsのスタートアップフォルダにバッチファイルを展開することで永続性を維持します。これらの永続性メカニズムは、追加のペイロードステージを受信するためにコマンド&コントロールサーバーと接触を確立します。脅威アクターは、ブラウザ検出ルーチンや地理位置情報チェックを含むいくつかの回避戦略を採用し、マルウェアがブラジル国内でのみ動作するようにしています。マルウェアには、ユーザーが標的の金融プラットフォームにアクセスしたときにブラウザウィンドウを監視し、バンキングセッションデータを傍受するための包括的なコードも含まれています。
CyberProofの対応と推奨事項
CyberProofの研究者たちは、SOCチームと脅威ハンター向けに、WhatsAppを通じてダウンロードされた不審なファイルを環境内で特定するために設計された詳細なハンティングクエリをリリースしました。このクエリは、WhatsAppの発生源からのファイルダウンロードイベントと、その後のPowerShell実行パターンを関連付け、マルウェアが動作可能になる前に同様の攻撃チェーンを検出することを可能にします。
MaverickとCoyoteの間のこれらの強力な技術的つながりの発見は、ブラジルに焦点を当てたバンキングマルウェアキャンペーンの進化する高度化を浮き彫りにしています。金融セクターで事業を展開する組織とその顧客は、不審なWhatsAppファイルダウンロードに対して警戒を怠らず、これらの永続的な脅威から防御するために、堅牢なエンドポイント保護、アプリケーションホワイトリスティング、および行動分析機能を実装する必要があります。
侵害の痕跡(IoC)
- ドメイン: casadecampoamazonas[.]com, sorvetenopote[.]com, zapgrande[.]com
- IPアドレス: 181.41.201.184, 77.111.101.169, 109.176.30.141
- ASN: 212238, 396356