偽のブラウザ更新がBitRATとLumma Stealerマルウェアを広めている

eSentireの脅威対応ユニット（TRU）のサイバーセキュリティ研究者は、リモートアクセス型トロイの木馬（RAT）や情報を盗むマルウェアであるBitRATおよびLumma Stealer（LummaC2としても知られる）を含むいくつかのマルウェア感染を配信する偽のブラウザ更新の事例を検出しました。

サイバーセキュリティ会社eSentireの最近の報告によると、これらの偽のブラウザ更新は、新しい攻撃で確認された有名なSocGholishマルウェアにも関与しています。

2024年には、FakeBatが同様の偽の更新メカニズムを使用して配布されていることが観察されました。

攻撃は、潜在的な犠牲者が悪意のあるJavaScriptコードが注入された妥協されたウェブサイトを訪れると始まります。このコードは、ユーザーを偽のブラウザ更新ページ（例：“chatgpt-app[.]cloud”）に誘導します。

さらに、chatgpt-app[.]cloudサイトには、Discordのコンテンツ配信ネットワーク（CDN）にホストされているZIPアーカイブ（“Update.zip”）をダウンロードするリンクが含まれており、自動的に犠牲者のデバイスにダウンロードされます。

「ZIPアーカイブ内に含まれるJavaScriptファイル（Update.js）は、犠牲者によって実行されるとペイロードを取得するための初期ダウンローダーとして機能します。アーカイブには、http://77[.]221[.]151[.]31から次のステージのローダーとペイロードをダウンロードおよび実行するためのいくつかのPowerShellスクリプトが含まれています。」と報告書は述べています。

「PowerShellスクリプトで特定されたIPアドレスは、BitRATのコマンド＆コントロール（C2）アドレスとして知られており、BitRATとLumma Stealerのペイロードの両方をホストしています。ファイルの拡張子は.pngですが、ローダー、持続メカニズム、およびペイロードが含まれています。」

報告書はさらに、「悪意のあるペイロードを含む2つのファイルa.pngとs.pngには、AMSIバイパスが含まれており、.NETのリフレクションを利用してRegSvcs.exeプロセス内でペイロードを動的にロードおよび実行するコードが含まれています。」と付け加えています。

eSentireは、ダウンローダーは「マルウェア配信サービス」として宣伝されている可能性が高いと指摘しています。なぜなら、それはBitRATとLumma Stealerの両方を展開するために使用されるからです。

BitRATは、攻撃者が感染したシステムを広範囲に制御できる多用途のリモートアクセスツールです。これにより、データを収集し、機密データを盗み、ユーザーの活動を監視し、追加のバイナリをダウンロードし、さらには追加のマルウェアを展開することができます。

一方、Lumma Stealerは、犠牲者のマシンから暗号通貨ウォレット、2FAブラウザ拡張機能、その他の機密データなどの貴重な情報を収集できる商品情報盗難者です。

「偽のブラウザ更新の誘惑は、デバイスやネットワークへの侵入手段として攻撃者の間で一般的になっています。」と同社は述べており、「信頼できる名前を利用してリーチと影響を最大化するオペレーターの能力を示しています。」と付け加えています。

ハッカーは、マルウェアの攻撃ベクトルとしてDiscordを使用することがよくあります。Bitdefenderによる最近の分析では、マルウェア、フィッシングキャンペーン、スパムを配布するために、過去6か月間に50,000以上の危険なリンクが流通していたことが明らかになりました。

一方、ReliaQuestの別の研究では、ClearFakeキャンペーンの新しいバリアントが、偽のブラウザ更新の名の下に悪意のあるPowerShellコードをコピー、貼り付け、および手動で実行するようにユーザーを騙すことが明らかになりました。

これにより、2023年の主要な情報盗難者の1つであるLummaC2マルウェアがインストールされましたと、別のReliaQuestの報告書は述べています。

「LummaC2によって取得されたログの販売数は、2023年第3四半期から第4四半期にかけて110％増加しました。LummaC2の敵対者の間での人気の高まりは、システムに侵入し、機密データを検出されずに抽出することに成功する高い成功率によるものと考えられます。」とReliaQuestは指摘しました。