VirusTotal 報告：マルウェア攻撃で用いられる偽装の手口３パターンとは？

VirusTotal Reveals Most Impersonated Software in Malware Attacks

2022/08/03 TheHackerNews — 信頼関係を悪用してソーシャル・エンジニアリング攻撃の成功率を高める手段として、Skype／Adobe Reader／VLC Player などの正規のアプリケーションを模倣する、脅威アクターが増えている。また、VirusTotal の分析によると、最も偽装されている正規アプリのアイコンは、7-Zip／TeamViewer／CCleaner／Microsoft Edge／Steam／Zoom／WhatsApp などであることが判明している。

火曜日のレポートで VirusTotal は、「私たちが見た中で、最もシンプルなソーシャル・エンジニアリングのトリックの１つは、マルウェアのサンプルを正規のプログラムのように見せかけることだ。それらのプログラムのアイコンは、悪意のプログラムを正当なものであると、被害者に確信させるために使用される重要な機能だ」と述べている。

エンドポイントを侵害するために、無防備なユーザーを騙し、無害に見える実行ファイルをダウンロードさせ実行させるというアプローチを、脅威アクターたちが取ることは、驚くことではない。

このようなアプローチが成功するのは、IP ベースのファイアウォール防御を回避するために、本物のドメインなどが悪用されるからだ。悪用されている上位のドメインには、discordapp[.]com／squarespace[.]com／amazonaws[.]com／mediafire[.]com／qq[.]com などがある。

Alexa の Web サイト Top-1000 に属する、101 件のドメインからダウンロードされた不審なファイルの数は、合計で 250万件以上となる。Discord や Telegram の悪用は、この種のプラットフォームの CDN が、マルウェアをホスティングするための肥沃な大地となり、また、攻撃者にとって完璧なコミュニケーション・ハブになっていることが、多くの人々が認識するところである。

また、２つ目の方法として、他のソフトウェア・メーカーから盗んだ有効な証明書で、マルウェアに署名するという手法も、多用される手口である。VirusTotal によると、2021年1月以降に 100万以上の悪意のサンプルを発見したが、そのうちの 87％ は、最初にデータベースにアップロードされたときに、正当な署名があったという。

さらに、Google Chrome／Malwarebytes／Zoom／Brave／Mozilla Firefox／Proton VPN などの、一般的なソフトウェアのインストーラーにマルウェアをパッケージ化し、正規のソフトウェアを装うというサンプルも、2020年1月以降で 1816個も発見されているという。

このような配布方法では、正規のソフトウェアのアップデートサーバへの侵入や、ソースコードへの不正アクセスに成功した攻撃者が、トロイの木馬化のバイナリ形式でマルウェアを忍び込ませることで、サプライチェーン攻撃を発生させることもある。

あるいは、正規のインストーラがマルウェアを混入したファイルと一緒に、圧縮ファイルにパッケージングされることもある。あるケースでは、正規の Proton VPN インストーラにマルウェアが同梱され、Jigsaw ランサムウェアがインストールされることも確認されている。

それだけでは無い。３つ目の方法は、ポータブルな実行可能リソースとして、正規のインストーラを悪意のサンプルに組み込むという、より巧妙な手口である。マルウェアの実行時に、インストーラも実行されるため、ソフトウェアが意図したとおりに動作しているかのように、ユーザーを錯覚させることになる。

研究者たちは、「これらの技術を全体として考えると、攻撃者が短期的／中期的に悪用する要因 (盗まれた証明書など) と、アプリケーションを視覚的に複製 (最も成功率が高い) する自動化された手順が、存在すると結論付けられる」と述べている。

VirusTotal のレポート “Deception at scale: How malware abuses trust” がベースになっている記事です。要約すると、マルウェア攻撃で用いられる３つの偽装パターンは、① 無防備なユーザーを騙して無害に見える実行ファイルを DL／実行 ② 盗んだ有効な証明書でマルウェアに署名 ③ 正規のインストーラを悪意のサンプルに組み込む、とのことです。どのパターンを見ても、そこを突かれると弱いなぁという感じがします。とはいえ、用心が必要ですね。