FileZilla を偽装するマルウェア・キャンペーン:DLL サイドローディングと RAT の配布

Fake FileZilla Downloads Lead to RAT Infections Through Stealthy Multi-Stage Loader

2026/03/16 CyberSecurityNews — 偽の Web サイトを通じて Remote Access Trojan (RAT) を配布する、新たなマルウェア・キャンペーンが発見された。この攻撃者は、正規の FileZilla サイトを精密に模倣する Web サイトを構築してユーザーを欺き、悪意のインストーラー・ファイルをダウンロードさせる。この攻撃の目的は、ユーザーに信頼できる FTP クライアントをインストールしていると誤認させ、Windows システムを継続的に侵害することにある。 

FileZilla 公式サイトに類似した偽ドメインを通じて配布されるパッケージには、正規 FileZilla のコピーと悪意の DLL ファイルが同梱されている。ユーザーがパッケージをダウンロードして実行すると、通常のインストール処理が問題なく進行するが、その一方で、悪意のコードがバックグラウンドで静かに実行される。ただし、感染の兆候を、ほとんど示さないという。 

Fake FileZilla Site (Source - Alyac)
Fake FileZilla Site (Source – Alyac)

脅威検知システムで収集したマルウェア・サンプルを分析した、EST Security の分析者たちが確認したのは、このキャンペーンが特定の脅威アクターにより主導される、組織的かつ現在進行中の攻撃であることだ。 

この調査により、2 種類の配布方式が確認された。まず 1 つ目は、FileZilla 3.69.5 ポータブルを含む圧縮アーカイブ内に “version.dll” という悪意の DLL が含まれる方式である。ユーザーが FileZilla 実行ファイルを展開して実行すると、Windows の DLL 読み込み順序を悪用する DLL サイドロード攻撃により、正規ライブラリよりも先に悪意の DLL が読み込まれる。 

FileZilla Compressed File with Malicious DLL Added (Source - Alyac)
FileZilla Compressed File with Malicious DLL Added (Source – Alyac)

2 つ目の方式では、正規 FileZilla インストーラーと悪意の DLL が、単一の実行ファイルとしてパッケージ化されている。インストール中に、悪意の DLL が目立たない形でディレクトリに配置され、FileZilla 起動時に毎回読み込まれる。最終的に実行されるペイロードは、完全な機能を備えた Remote Access Trojan である。 

Comparison of Malicious Installation File and Normal Installation File (Source - Alyac)
Comparison of Malicious Installation File and Normal Installation File (Source – Alyac)

感染を成功させた攻撃者は、Web ブラウザに保存される認証情報の窃取/キーストロークの記録/デスクトップ画面の取得に加えて、HVNC (Hidden Virtual Network Computing) を用いた仮想デスクトップ経由の遠隔操作を実行できる。HVNC により隠蔽されたデスクトップ機能を用いる攻撃者は、追加マルウェアのダウンロードや内部システムの操作を行えるが、その動作は被害者の画面には表示されない。 

このキャンペーンは、ソフトウェアの脆弱性を一切悪用せず、ソーシャル・エンジニアリングだけに依存するものだ。つまり、通常のソフトウェア・ダウンロードに見える操作を、ユーザーに実行させるところに攻撃の核心がある。そのため、従来のパッチ管理では防御できず、ユーザーのセキュリティ意識と、安全なダウンロード習慣だけが、主要な防御手段となる。

多段ローダー構造と C2 における検出回避の手法

悪意のある DLL が読み込まれても、RAT ペイロードは直ちに実行されない。その代わりに 4 段階のローダー・チェーンが起動し、各段階で次のステージの復号と実行が処理されていく。すべての処理は、システム・メモリ内で完結し、不審なファイルがディスクに書き込まれることはない。 この多層設計により、各ステージはメモリ上に短時間のみ存在し、ファイル・システムに残される痕跡は、きわめて僅かである。そのため、セキュリティ・ツールによる検出は困難となる。 

Command-and-Control (C2) 通信では、DNS-over-HTTPS が使用される。このマルウェアは、Cloudflare の公開リゾルバ 1.1.1.1 へ向けて暗号化された HTTPS リクエストを送信し、C2 ドメイン “welcome.supp0v3.com” を解決する。この手法により、DNS クエリは通常の HTTPS トラフィックに偽装され、ポート 53 フィルタリング・ツールや DNS 監視ツールを回避する。 

C2 JSON データの分析では、UTM 形式の追跡パラメータも確認されており、感染者を体系的に追跡する攻撃者が、被害者グループを管理している状況が示唆される。 

このマルウェアは、ペイロードを展開する前に、感染ホストに対して仮想環境チェックを実行する。具体的には、BIOS 製造元情報/実行中プロセス/ロード済みドライバ/レジストリ値と既知の仮想環境シグネチャが照合され、サンドボックス環境が検出された場合には、ペイロード実行を停止して解析を回避する。 

防御策として、ユーザーが考えるべきことは、必ず公式プロジェクトの Web サイトからソフトウェアをダウンロードし、サードパーティのポータルや不審なリンクを回避することである。 

セキュリティ・チームにとって必要なことは、公開 DNS リゾルバへ向けた HTTPS トラフィックの監視である。それに加えて、ファイル・ベース検知を回避するメモリ内ローダー活動を検出するための、振る舞いベースのエンドポイント検知ツールを導入する必要がある。

IoCs
IndicatorTypeDescriptionDetection Name
C608AC44ED1F4FE707B9520F87FB1564MD5Malicious DLL fileBackdoor.Agent.361984A
9D7C559F1885EDE6911611165EFF07F7MD5Malicious DLL fileBackdoor.Agent.361984A
D7C3ECB76C03C1C0AA98D4E2D71C2BCFMD5FileZilla installation fileTrojan.Dropper.Agent
filezilla-project.liveDomainFake FileZilla site
hxxps://welcome.supp0v3[.]com/dcallbackURLC2 server callback
95.216.51.236:31415IP:PortC2 server

このマルウェア・キャンペーンの背景にあるのは、特定の脆弱性 (CVE) の悪用ではなく、本物と見分けがつかない偽サイトでユーザーを信じ込ませる、ソーシャル・エンジニアリングの問題です。また、攻撃の核となるのは、Windows システムが正規ライブラリより先に特定の DLL を読み込んでしまう、DLL サイドロードという仕組みの悪用にあります。感染後の手法は、多段階のローダーや、暗号化された C2 通信により高度に隠蔽されますが、感染のきっかけは、正規のソフトウェア・インストールに見せかけた誘導です。信頼を悪用する侵入プロセス自体の阻止が、被害を防ぐ上での大きな課題となっています。