DeerStealer Malware Spread Through Weaponized .LNK and LOLBin Tools
2025/07/22 gbhackers — 高度に難読化された多段階の攻撃チェーンを通じて、DeerStealer インフォスティーラーを拡散する、新たなサイバー攻撃の波が出現している。そこで用いられるのは、Windows ショートカット・ファイル “.LNK” と、正規のシステム・ユーティリティを悪用する、Living-off-the-Land Binaries and Scripts (LOLBin/S) という手口である。
最近の攻撃で起点となるものに、フィッシング・メールなどによる不正なファイル共有があるが、それらのファイルは、無害に見える偽装ドキュメントに、兵器化された .LNK ファイルが取り込まれることが多い。そして、PDF アイコンとして表示される一連の偽装ファイルでは、”Report.lnk” といった誤解を招く名前が多用される。
続いて、この種の LNK ファイルを被害者が実行すると、Windows ネイティブ・バイナリである mshta.exe が密かに起動される。
MITRE ATT&CK テクニック T1218.005 を悪用する攻撃者は、署名/信頼を得ている Windows バイナリを介してスクリプト実行をプロキシし、”mshta.exe” を用いることで、アプリケーション制御/エンドポイント保護/ログ記録をバイパスしていく。
このキャンペーンの重要な特徴は難読化である。この種の LNK ファイルには、高度に暗号化された PowerShell コマンドが埋め込まれている。さらに、多くのケースにおいて、Base64 によるエンコードや、ワイルドカード・ファイルシステム・パスにより難読化されるため、静的シグネチャによる検出が無効化されてしまう。
その侵害チェーンは mshta.exe を経由して進行し、さらに cmd.exe や PowerShell を介して、追加のスクリプトがドロップ/実行される。
注目すべきは、System32 の mshta.exe パスを、PowerShell が実行時に動的に解決し、難読化された引数を用いて起動する点である。それにより、診断ログとプロファイリングが無効化され、フォレンジック・アーティファクトが最小限に抑えられる。
動的なスクリプト実行
悪意のペイロード群のコアとなる DeerStealer は、バックグラウンドで配信されるが、そこで用いられるのは、高度な技術と回避策を示す一連の手順である。
最初のドロッパー・ステップの後に、 PowerShell を用いた文字ペアのデコードと、16 進表現の ASCII 変換が行われ、スクリプトが段階的に再構築されていく。このスクリプトは、PowerShell の Invoke-Expression (IEX) を用いて構築されるが、実行時にいたるまでは、ほぼ不可視の状態に留まる。
このクローキング・メカニズムは、次のステップまで拡張されており、URL やバイナリを含む動的配列は難読化され、メモリ内でのみ解決される。それにより、従来の検出方法が回避されるだけではなく、攻撃インフラの俊敏性と回復力も維持される。
ユーザーの疑念を最小限に抑える DeerStealer は、無害に見える PDF ドキュメントをダウンロードし、Adobe Acrobat を介して提示する。つまり、このドキュメントにより、進行中のバックグラウンド活動が隠蔽される。
それと同時に、コアとなる情報窃取のための実行ファイルが、被害者の AppData ディレクトリに静かに書き込まれ、プロンプトなしで起動される。その後も、レジストリキーの修正や、スケジュールされたタスク作成を通じて、このマルウェアはシステムに常駐し、再起動後もホスト上に残留する。
ANY.RUN サンドボックス分析
ANY.RUN のような動的サンドボックス・ツールは、この種の回避型マルウェアの実行チェーンを解析する上で、きわめて重要な役割を果たす。そのプロセス・トレースとメモリ状態監視を使用するアナリストたちは、LNK 実行から mshta.exe/PowerShell のデコード、そして、データ窃取に至るまでの流れを追跡した。
DeerStealer の特徴として挙げられるものに、サンドボックス/仮想マシンに対するチェック機能がある。それにより、基本的な分析が阻止され、標的ハードウェア上だけで悪意の処理が実行される。
また、DeerStealer が窃取する情報は、ブラウザやメッセージ・クライアントの認証情報/複数のブロックチェーンにまたがる暗号通貨ウォレット/機密性の高いオートフィル・データなどに特化されている。
それらの窃取された情報は、暗号化されたコンテナ内でコンパイルされ、リモートの Cimmand and Control (C2) サーバに送信される。なお、多くのケースにおいて、それらの C2 サーバは、プロキシ・ドメインにより保護され、運用上の秘匿性を強化している。
この侵害チェーンで用いられる、署名付き Windows バイナリの悪用/PowerShell ログの選択的無効化/高度なペイロード配信ルートの多様化などにより、エンタープライズ環境における検出と緩和はきわめて困難になる。
セキュリティ・チームに推奨されるのは、mshta や PowerShell の異常な呼び出しの監視/子プロセス・ツリーの追跡/AMSI (Antimalware Scan Interface) 統合を有効化などに加えて、アウトバウンド・ネットワーク・トラフィックの精査となる。
侵害の兆候 (IoC)
| Type | Value |
|---|---|
| Malicious URL | https://tripplefury[.]com/ |
| SHA-256 Hash | fd5a2f9eed065c5767d5323b8dd928ef8724ea2edeba3e4c83e211edf9ff0160 |
| SHA-256 Hash | 8f49254064d534459b7ec60bf4e21f75284fbabfaea511268c478e15f1ed0db9 |
DeerStealer と呼ばれる情報窃取型マルウェアの仕組みが詳しく紹介されています。多層化された難読化や、Windows 正規ツールを悪用する方法などにより、検出を巧妙に回避していると、この記事は指摘しています。よろしければ、Info Stealer で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.