情報窃取マルウェアViperSoftXの最新の亜種は、共通言語ランタイム(CLR)を使用して、検出を回避するためにAutoItスクリプト内でPowerShellコマンドをロードして実行します。
CLRはMicrosoftの.NET Frameworkの主要コンポーネントであり、.NETアプリケーションの実行エンジンおよび実行環境として機能します。
ViperSoftXは、CLRを使用して、一般的にセキュリティ・ソリューションによって信頼されるWindowsタスクを自動化するためのスクリプト言語であるAutoIt内のコードをロードします。
さらに、研究者は、このマルウェアの開発者が、最新バージョンに修正された攻撃スクリプトを組み込み、巧妙さを増していることを発見しました。
感染経路
ViperSoftXは少なくとも2020年から存在しており、現在では、おとりPDFまたは電子書籍ファイル、ショートカット(.LNK)ファイル、JPG画像ファイルに偽装したPowerShellおよびAutoITスクリプトを含む悪意のあるRARアーカイブを配信する電子書籍として、トレントサイトで配布されています。
Source:Trellix
サイバーセキュリティ企業Trellixのマルウェア研究者によると、被害者が.LNKファイルを実行することで感染が始まるとのことです。その過程で、コマンドプロンプトで自動的に実行されるコマンドを空白のスペースに隠すPowerShellスクリプトがロードされます。
PS スクリプトは、%APPDATA%MicrosoftWindows ディレクトリに 2 つのファイル(zz1Cover2.jpgおよびzz1Cover3.jpg) を移動します。そのうちの1つはAutoItの実行ファイルで、AutoIt3.exeという名前に変更されている。
永続性を維持するため、同じスクリプトで、ユーザーがログインしてから5分ごとにAutoIt3.exeを実行するようにタスク・スケジューラを設定する。
ソースによって追加されたスケジュールされたタスク:Trellix
ステルス動作
AutoIt環境内でPowerShellコマンドをロードして実行するためにCLRを使用することで、ViperSoftXはシステム上の正当なアクティビティに紛れ込み、検出を回避しようとします。
これは、AutoItが.NET CLRをネイティブにサポートしていないにもかかわらず、ユーザーがPowerShellコマンドを間接的に呼び出せる関数を定義できるためです。
ViperSoftXは、高度なBase64難読化とAES暗号化を使用して、イメージのおとりファイルから取得したPowerShellスクリプト内のコマンドを隠蔽します。
また、このマルウェアには、Antimalware Scan Interface(AMSI)関数(「AmsiScanBuffer」)のメモリを変更する関数も含まれており、スクリプトのセキュリティチェックをバイパスします。
Source:Trellix
ネットワーク通信では、ViperSoftXは「security-microsoft.com」のような偽のホスト名を使用します。レーダーをかいくぐるため、システム情報はBase64形式でエンコードされ、データはコンテンツ長が “0 “のPOSTリクエストを介して配信されます。そうすることで、脅威行為者は再び、ボディコンテンツがないことによる注目を避けようとします。
ViperSoftXの目的は、侵害されたシステムから以下のデータを盗むことです:
- システムとハードウェアの詳細
- MetaMask、RoninWalletなどのブラウザ拡張機能から暗号通貨ウォレットのデータ
- クリップボードの内容
Source:Trellix
Trellixによれば、ViperSoftXはその回避戦術を洗練させ、より大きな脅威となっている。AutoItの内部でPowerShellを実行するためにCLRを統合することで、このマルウェアは、通常スタンドアロンのPowerShellアクティビティを捕捉するセキュリティメカニズムを回避しながら、悪意のある関数を実行することに成功しています。
研究者は、このマルウェアを「検知、予防、および対応能力を包含する包括的な防御戦略」によって阻止できる、洗練された機敏な現代の脅威であると説明しています。
Comments