増加中の新しいマルウェアローダー.
HP Threat Researchは、新しいローダーの詳細を示す新しいレポートをリリースしました. 研究者たちは4月末から新しい悪意のあるスパムキャンペーンを観察しています 2022, これまで知られていなかったマルウェアの配布, SVCReadyと呼ばれる. ローダーは珍しい方法で配布されます – MicrosoftOfficeドキュメントのプロパティに隠されたシェルコードを介して. 脅威調査チームが明らかにしたことから, マルウェアはまだ開発中のようです, 5月にいくつかの更新が行われました.
SVCReadyマルウェアローダーの調査
分析されたキャンペーンで, 攻撃者は電子メールで.doc添付ファイルを送信しました. これらのドキュメントには、Visual BasicforApplicationsが含まれています (VBA) 悪意のあるコードを実行するために必要なAutoOpenマクロ. でも, ドキュメントは、PowerShellまたはMSHTAを使用してWebからさらにペイロードをダウンロードしません. それよりも, VBAマクロは、ドキュメントのプロパティに保存されているシェルコードを実行します, 次に、SVCReadyマルウェアをドロップして実行します, 報告書は指摘しました.
マルウェア自体も, システム情報を収集することができます, ユーザー名など, コンピュータネーム, タイムゾーン, マシンがドメインに参加しているかどうか. また、レジストリへのクエリも実行します, 具体的には HKEY_LOCAL_MACHINE HARDWARE DESCRIPTION System 鍵, コンピュータの製造元についての詳細, BIOSとファームウェア. SVCReadyが収集するその他の詳細には、実行中のプロセスとインストールされているソフトウェアのリストが含まれます. 情報の収集は、WindowsManagementInstrumentationクエリではなくWindowsAPI呼び出しを介して行われます。. 収集されたすべての詳細はJSONとしてフォーマットされ、に送信されます C2サーバー HTTPPOSTリクエスト経由.
コマンドアンドコントロールサーバーとの通信はHTTP経由で行われます, ただし、データ自体はRC4暗号を介して暗号化されます. マルウェアが永続性を達成しようとすることも注目に値します:
感染したPCに関する情報を盗み出した後, マルウェアはシステム上で永続性を達成しようとします. マルウェアの作成者は、マルウェアDLLをローミングディレクトリにコピーすることを意図していた可能性があります, 新しく生成されたUUIDに基づいて一意の名前を付けます. しかし、rundll32.exeがSVCReady DLLではなくローミングディレクトリにコピーされているため、これを正しく実装できなかったようです。.
フォローアップマルウェアも配信
別のマルウェアは、最初の感染後にフォローアップペイロードとして配布されます – RedLineスティーラー. 「当時、C2通信フォーマットは暗号化されていませんでした. このキャンペーンはSVCReadyのオペレーターによるテストだった可能性があります. 執筆時点, それ以降、マルウェアのペイロードはまだ受信されていません。,」レポートは結論を出しました.
最近発見されたマルウェアローダーの他の例には、次のものがあります。 ChromeLoader と マルハナバチ.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: