Cybercriminals Exploit Popular Software Searches to Spread FakeBat Malware
2024/08/19 TheHackerNews — FakeBat マルウェア・ローダーを配布するための、不正な広告キャンペーンを介したマルウェア感染が急増している。Mandiant Managed Defense チームのテクニカル・レポートには、「これらの攻撃は、一般的なビジネス・ソフトウェアを求めるユーザーをターゲットにした、日和見的なものだ。具体的に言うと、トロイの木馬化された MSIX インストーラによりマルウェア感染が始まり、PowerShell スクリプトの実行による二次的なペイロードのダウンロードへといたる」と記されている。
その FakeBat (別名:EugenLoader/PaykLoader) には、Eugenfest という脅威アクターが関与している。FakeBat を、NUMOZYLOD という名前で追跡している Google TAG (threat intelligence team) は、Malware-as-a-Service (MaaS) としての動作について、UNC4536 の関与を主張している。
このマルウェアを配布する攻撃チェーンは、ドライブ・バイ・ダウンロードのテクニックを駆使し、人気のソフトウェアを検索するユーザーを偽サイトへと誘導するが、そこでは、ブービートラップを仕掛けた MSI インストーラーがホストされている。FakeBat を介して配信されるマルウェアには、IcedID/RedLine Stealer/Lumma Stealer/SectopRAT (別名 ArechClient2) などに加えて、サイバー犯罪グループ FIN7 が関与する Carbanak などがある。
Mandiant は、「UNC4536 の手口は、Brave/KeePass/Notion/Steam/Zoom などを装う不正広告の活用により、トロイの木馬化された MSIX インストーラを配布するというものだ。正規のソフトウェア・ホスティング・サイトを模倣するように設計された Web サイト上に、それらのトロイの木馬化された MSIX インストーラーはホストされており、騙されたユーザーを誘い込んでダウンロードさせる」と述べている。
この攻撃で特筆すべきは、Brave/KeePass/Notion/Steam/Zoom に偽装した、MSIX インストーラーを使用している点にある。それらは、メイン・アプリケーションを起動する前に、startScript と呼ばれる設定により、悪意のスクリプトを実行するという機能を備えている。
UNC4536 は、マルウェアのディストリビューターである。そして FakeBat は、彼らのビジネス・パートナーである FIN7 などのために、次段階のペイロード配信の手段として機能するものである。
Mandiant は、「NUMOZYLOD (FakeBat) が収集するシステム・データには、OS の詳細/ドメイン結合/ウイルス対策製品などの情報が含まれる。いくつかの亜種は永続性を確保するために、ホストのパブリック IPv4/IPv6 アドレスを収集し、その情報を C2 に送信することで、StartUp フォルダにショートカット (.lnk) を作成している」と述べている。
先日に Mandiant は、EMPTYSPACE (別名 BrokerLoader/Vetta Loader) という別のマルウェア・ダウンローダーの、攻撃ライフサイクルに関するレポートを公開している。それから1カ月余り後に、今回の情報は開示されている。前回のマルウェア・ダウンローダーは、UNC4990 と呼ばれる金銭目的の脅威クラスターが使用したものだ。その時の、イタリアの組織を標的とする攻撃では、データ流出やクリプトジャッキング活動を促進するために EMPTYSPACE は使用されていた。
このようにマルウェアを感染させるフェイク・サイトが、繰り返して登場する背景にあるのは、それなりの成果を上げているという実績があるからでしょう。この記事を読んでみて、自分が騙されると思う方は皆無だと思いますが、慌ててアプリをインストーすする状況などを想像すると、ちょっと自信がなくなりますよね。とにかく、アプリのインストールは急がない、また、相手にも急がせないという気持ちが必要なのだと感じます。よろしければ、カテゴリ Scammer も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.