Fruity Trojan Uses Deceptive Software Installers to Spread Remcos RAT
2023/07/31 TheHackerNews — 脅威アクターたちは、トロイの木馬化されたソフトウェアをホストする偽の Web サイトを作成してユーザーを騙し、Fruity と呼ばれるマルウェア・ローダーをダウンロードさせた後に、Remcos RAT などのリモート型トロイの木馬ツールをインストールさせている。セキュリティ・ベンダーである Doctor Web は、「問題のソフトウェアの中には、CPU/グラフィックカード/BIOS など微調整するツールや、PC ハードウェア・モニタリング・ツールなどのアプリも含まれている。このようなインストーラーはオトリとして使用され、潜在的な被害者が望むソフトウェアに加えて、トロイの木馬を構成するコンポーネントが含まれている」と述べている。
このキャンペーンで使用された、正確なイニシャル・アクセス・ベクターは不明だが、フィッシングから、drive-by ダウンロード、そして、悪意の広告にいたるまでの、すべての可能性がある。そして、偽の Web サイトにたどり着いたユーザーは、ZIP インストーラー・パッケージをダウンロードするよう促される。
このインストーラーは、標準的なインストール・プロセスを起動させるだけでなく、MP3 ファイル “Idea.mp3” を解凍して画像ファイル “Fruit.png” をロードし、多段階感染を起動させる Python ベースのマルウェアである、トロイの木馬 Fruity をバックグランドでドロップする。
Doctor Web は、「この画像ファイルでは、ステガノグラフィーの手法を用いられ、2つの実行ファイル (.dll) と、次の段階の初期化のためのシェルコードが、その中に隠されている」と述べている。
さらに Fruity は、侵害したホスト上のウイルス対策検知を回避し、プロセスのドッペルゲーミングと呼ばれる手法を用いて、最終的に Remcos RAT のペイロードを起動するように設計されている。
この一連の攻撃は、あらゆる種類のマルウェアを配布するために悪用される可能性があるた。言うまでもなく、ユーザーは信頼できるソースからのみ、ソフトウェアをダウンロードするよう心がける必要がある。
侵害されたエンドポイントから機密データを採取する、マルウェア Agent Tesla を配信するマルスパム・キャンペーンの詳細を、Bitdfender が公開したことを受けて、今回の調査が行われた。
それは、検索エンジン上の広告を経由して、汚染されたソフトウェアで顧客や企業を標的とする、マルバタイジング・オペレーションの急増にも続くものでもある。
具体的に言うと、AnyDesk/WinSCP/Cisco AnyConnect/Slack/TreeSize などの、アプリケーションのダウンロード・ページを装う偽の広告を使用して、不正な ISO アーカイブを配布する Nitrogen という、新たな攻撃の波も含まれる。
Bitdefender の研究者である Victor Vrabie と Alexandru Maximciuc は、「このマルバタイジング・キャンペーンは、最初の暴露の後に、感染を伝播していく。ただし、被害者のネットワークに滞留している状況では、攻撃者の主な目標は、認証情報を取得し、重要なシステムに永続性を設定し、データを流出させると恐喝することである」と述べている。
ユーザーを騙してマルウェアをダウンロードさせる、偽のアプリと偽の Web サイトが、さまざまなバリエーションを展開しているようです。また、悪意のコードを取り込んだ画像ファイルを用いる、ステガノグラフィーの手法も採用されているようです。よろしければ、steganograph で検索も、ご利用ください。何本かの関連記事があります。
IoT OT Security News 
You must be logged in to post a comment.