Fake Bitdefender Site Spreads Trio of Malware Tools
2025/05/28 InfoSecurity — 偽装された Bitdefender Web サイトを介したマルウェア・キャンペーンにより、VenomRAT などの悪意のツールが配布され、被害者システムの深層への攻撃が生じているようだ。”DOWNLOAD FOR WINDOWS” というタイトルの偽サイトは、Bitdefender の正規のウイルス対策ダウンロード・ページを模倣しているが、訪問者がリダイレクトされる先は、Bitbucket Amazon S3 にホストされている悪意のサイトである。
そこでダウンロードされるパッケージには、感染プロセスをトリガーする “StoreInstaller.exe” という実行ファイルが取り込まれている。研究者たちが発見したのは、このファイルに3種類のマルウェア・ファミリー (VenomRAT/StormKitty/SilentTrinity) のコードがバンドルされていることだ。
最大限のエクスプロイトを狙うモジュール型マルウェア
このキャンペーンを発見した DomainTools によると、それぞれ異なる役割を3つのマルウェアが担うことであり、階層化された侵入アプローチが採用されていることだ。
- VenomRAT:リモートからの継続的なアクセスを確保
- StormKitty:認証情報と暗号通貨ウォレットのデータを収集
- SilentTrinity:ステルス的な情報流出と長期的な制御の達成
これらのコンポーネントを組み合わせることで、攻撃者は身を隠した状態で迅速に行動できる。
OSS フレームワークである SilentTrinity と StormKitty を使用していることから、攻撃者の目的は短期的な利益だけにあるのではなく、長期的なエクスプロイトや、アクセスの転売も狙っていることが示唆される。
VenomRAT は、Quasar RAT プロジェクトにルーツを持ち、キーロギング/認証情報の窃取/リモートコマンド実行 (RCE) をサポートしている。
このキャンペーンに関連するマルウェア・サンプルを分析したところ、コンフィグレーションの一貫性と、”67.217.228[.]160:4449″ や “157.20.182[.]72:4449” といった Command and Control (C2) IP アドレスの再利用が判明した。
アナリストたちは、一致する RDP コンフィグを通じて、追加の VenomRAT サンプルと IP アドレスを追跡し、同じ攻撃者が管理している可能性のある、他のインフラも明らかにした。
さらなるリスクをもたらす偽のログイン・ページ
研究者たちが特定したものには、偽装されたアンチ・ウイルスサイトに加えて、バンキングや IT サービスを装うフィッシング・ドメインもあった。そこに含まれるものは、以下となる:
- idram-secure[.]live:アルメニアの IDBank を偽装
- royalbanksecure[.]online:カナダのロイヤル銀行を偽装
- dataops-tracxn[.]com:Microsoft のログイン・ポータルを偽装
これらのドメインの背後に存在するインフラは、発生時期と設定が重複しており、組織化された脅威アクターたちが、金銭目的の攻撃を仕掛けていることが裏付けられる。
オープンソース・マルウェアの利用拡大
この攻撃者が OSS ツールに依存していることが示すのは、サイバー犯罪における、それらの利用が、きわめて容易に行われている状況を示している。つまり、既存のフレームワークを再利用することで、柔軟で効果的なマルウェア・キットを迅速に構築できる状況にある。それは、防御側がパターンを認識するのに役立つ一方で、潜在的な攻撃の速度と規模を拡大させる可能性も秘めている。
DomainTools の研究者たちは警戒を強めている。ユーザーに対して強く推奨されるのは、ダウンロード元の確認と、信頼できないサイトへの認証情報の入力の回避に加えて、メールのリンクや添付ファイルに対する注意となる。
セキュリティ・ソフトの名を騙って情報を盗むという、非常に悪質なキャンペーンです。攻撃者にとっても、OSS ツールの柔軟さとエコシステムが、好都合なものだと示しているように思えます。よろしければ、カテゴリ Malware/カテゴリ _OpenSource も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.