サイバーニュース.jp

世界のサイバーなニュースを配信

新しいEtherHiding技術:ウェブ攻撃でマルウェアを展開し、ペイロードを動的に更新

カテゴリ:

EtherHidingの概要と革新性

EtherHidingは、マルウェアの配布と更新方法を根本的に変える新しいウェブベースの攻撃手法です。従来の脅威とは異なり、静的なステージングサーバーや一時的なリダイレクトチェーンに依存せず、**Binance Smart Chain (BSC) テストネット上のスマートコントラクト**を活用します。これにより、攻撃者は侵害されたサイトに触れることなく、悪意のあるペイロードを瞬時に更新または変更できます。このモデルは、分散型オンチェーンストレージ、ブラウザベースの実行、ソーシャルエンジニアリング戦術に依存しており、従来のほとんどの検出層を回避します。

EtherHidingの攻撃メカニズム

EtherHidingのデリバリーチェーンの中核は、ペイロード取得に**ブロックチェーンベースのスマートコントラクト**を使用することです。攻撃は、侵害されたウェブサイトから開始され、偽のCAPTCHAページを装った悪意のあるJavaScriptが注入されます。被害者は「人間であることを証明する」よう促され、**攻撃者が提供するコードをコピーし、Terminal(macOS)またはWindowsの「ファイル名を指定して実行」ダイアログを通じてローカルで実行**するよう誘導されます(「Click-Fix」技術)。この手法により、実行はユーザーに委ねられ、多くの行動防御やサンドボックス検出を回避します。ローダースクリプトは**Ethers.jsライブラリ**を利用して、被害者のブラウザから直接オンチェーンコントラクトと対話します。ペイロードのURLはハードコードされておらず、訪問者ごとにライブコントラクトクエリがトリガーされ、最新の難読化されたプラットフォーム対応のマルウェアステージが取得されます。ブロックチェーンの利用は、**安価なガス代のトランザクション**でペイロードの更新を迅速かつステルスに展開できることを意味し、ウェブ層でのブロックはほぼ不可能となります。

段階的な攻撃の流れ

規制された実行とペイロードの回転

  • 偽のCAPTCHAがアクティブ化されると、ブラウザは注入されたJavaScriptをデコードし、ヘッドレスブラウザを検出し、クライアントのOSを特定します。
  • この情報を使用してOS固有のスマートコントラクトが選択されます(例:Windows用とmacOS用)。
  • 「ゲート」コントラクトがさらなる制御を強制し、承認されたクッキーを持つ被害者のみが進行を許可されます。これにより、攻撃者はブロックチェーントランザクションを通じて、オンデマンドで配信を有効化、調整、または無効化できます。

OS固有の悪用経路

  • macOS: 被害者は、LaunchAgentsを介して永続化し、欺瞞的なプロンプトを使用して資格情報を収集するcurl-to-bashインストーラーを実行するクリップボードコマンドを受け取ります。ペイロードは、TelegramやSteamのプロフィールをスクレイピングすることでコマンド&コントロール(C2)ドメインを動的に解決し、静的なドメインブロックリストを回避します。
  • Windows: ユーザーは「ファイル名を指定して実行」ダイアログに貼り付けるよう指示され、MSHTAを呼び出してリモートからの取得とサイレント実行を行います。
  • このチェーンで配信される一般的なペイロードには、**Amos Stealer**や**Vidar**マルウェアファミリーが含まれます。

偽CAPTCHAと分散型ステージング

偽CAPTCHAオーバーレイは、お馴染みの認証ページに対するユーザーの信頼を悪用する一貫したソーシャルエンジニアリングの媒介となっています。Censysのテレメトリーによると、1ヶ月間で1,500以上のウェブプロパティでこのような誘惑が確認されており、多くはEtherHidingに見られるようなブロックチェーンベースのロジックを活用しています。従来の脅威がドメインの頻繁な変更(例:SocGholish)に依存していたのに対し、EtherHidingはスマートコントラクトを使用することでピボットポイントを分散化します。**同じコントラクトアドレスが多くの注入されたサイトで再利用され、コントラクトのストレージのみがペイロードの更新や変更のために変更されます。**したがって、検出の機会は、**Ethersライブラリの使用やウェブソースコード内の異常なreCAPTCHAアセットの再利用**を特定することへと移行します。

EtherHidingに対する防御策

EtherHidingおよび類似のブロックチェーンを基盤とする脅威に対する防御には、パラダイムシフトが必要となります。

ホストレベル

  • クリップボードからシェルへのアクティビティ、TerminalやMSHTAの不審な実行、永続化エージェントの作成、特に異常なCAPTCHAページに続くものがないか監視する。

ネットワークレベル

  • ブラウザ起点のリモートプロシージャコール(RPC)、大規模な16進エンコードされたペイロード、非暗号化ドメイン内のEthers.jsインポートを調査する。

脅威ハンティング

  • 動的な16進デコードやスマートコントラクトのルックアップを含む珍しいHTMLパターンと、ソーシャルエンジニアリングの誘惑を組み合わせて検索する。

EtherHidingは、分散型でアジャイルな、ユーザー主導のマルウェア配信への明確な移行を示しています。これらの戦術が成熟するにつれて、防御側はブロックチェーンロジック、ソーシャルな誘惑、および新たな行動シーケンスを検出するために、可視性と検出方法を適応させる必要があります。

元記事: https://gbhackers.com/etherhiding-technique-2/

投稿をさらに読み込む