PEAKLIGHT ダウンローダー
サイバーセキュリティ研究者は、情報窃盗やローダーを使って最終的に Windows システムを標的とし、その後のマルウェア段階を展開するように設計された新しいドロッパーを発見しました。
このメモリ専用のドロッパーは、PEAKLIGHT と呼ばれる PowerShell ベースのダウンローダーを復号して実行します。この方法で配布されるマルウェアの種類には、Lumma Stealer 、Hijack Loader (DOILoader、 IDAT Loader、 SHADOWLADDER とも呼ばれる)、 CryptBotなどがあり、これらはすべてマルウェア・アズ・ア・サービス (MaaS) モデルの一部として提供されています。
目次
初期攻撃ベクトルと攻撃チェーン
攻撃チェーンは、ユーザーがオンラインで映画を検索するときなど、ドライブバイ ダウンロード方式でダウンロードされる Windows ショートカット (LNK) ファイルから始まります。これらの LNK ファイルは、海賊版映画を装った ZIP アーカイブにパッケージ化されています。
ダウンロードされると、LNK ファイルは難読化されたメモリ専用の JavaScript ドロッパーをホストするコンテンツ配信ネットワーク (CDN) に接続します。次に、このドロッパーは被害者のマシン上で PEAKLIGHT PowerShell ダウンローダー スクリプトを実行し、次にコマンド アンド コントロール (C2) サーバーに接続してさらなるペイロードを取得します。
研究者はさまざまな LNK ファイルのバリエーションを観察しました。その中には、アスタリスク (*) をワイルドカードとして使用して正規の mshta.exe バイナリを呼び出し、悪意のあるコード (つまりドロッパー) をリモート サーバーからひそかに実行できるようにするものもありました。
ピークライトは合法的な映画の背後に脅迫行為を隠している
同様に、ドロッパーには 16 進数でエンコードされた PowerShell ペイロードと Base64 でエンコードされた PowerShell ペイロードの両方が含まれていることが確認されています。これらのペイロードは、感染したシステムに後続のマルウェアを展開し、おそらくおとりとして正規の映画予告編もダウンロードするように設計されたツールである PEAKLIGHT を実行するために解凍されます。
PEAKLIGHT は、多段階実行チェーン内で難読化された PowerShell ベースのダウンローダーとして機能します。特定のハードコードされたファイル パスで ZIP アーカイブを検索します。これらのアーカイブが見つからない場合、ダウンローダーは CDN サイトに接続してアーカイブ ファイルをダウンロードし、ディスクに保存します。
これは、海賊版映画を探しているユーザーを狙ったマルウェアの最初の事例ではありません。2024 年 6 月初旬、研究者は、映画ダウンロード サイトからビデオ ファイルをダウンロードしようとすると Hijack Loader が展開されるという高度な感染チェーンを発見しました。
ダウンローダーはより特殊なマルウェアの扉を開く
ダウンローダー マルウェアは、個人と組織の両方にいくつかの重大な危険をもたらします。
- 最初の侵害: ダウンローダー マルウェアは、多くの場合、より大規模な攻撃の最初の段階です。インストールされると、より高度なマルウェアを含む追加の悪意のあるペイロードを密かにダウンロードしてインストールできます。
- データ盗難: ダウンローダー マルウェアによって配信される追加のペイロードには、ログイン認証情報、財務情報、個人情報などのプライベート データを盗み取る情報窃盗が含まれる可能性があり、個人情報の盗難や金銭的損失につながります。
- システムハイジャック: 一部のダウンローダーマルウェアは、リモートアクセスツールやバックドアを展開するように設計されており、攻撃者が感染したシステムを制御できるようにします。これにより、企業ネットワークへの不正アクセス、データ侵害、さらにシステムの侵害が発生する可能性があります。
- ランサムウェアの展開: ダウンローダー マルウェアは、ランサムウェアのインストールに使用される場合があります。ランサムウェアは、被害者のファイルを暗号化し、解放と引き換えに身代金の支払いを要求する可能性があります。これにより、重大なデータ損失や業務の中断が発生する可能性があります。
- 脆弱性の増大: ダウンローダー マルウェアがインストールされると、システム防御が弱まり、他の種類のマルウェアが悪用できる脆弱性が生じます。これにより、攻撃者はより危険で持続的な脅威を展開しやすくなります。
- ネットワーク伝播: ダウンローダー マルウェアはネットワーク全体に広がり、同じ環境内の他のデバイスやシステムに感染する可能性があります。これにより、広範囲にわたる被害が発生し、修復作業が複雑化する可能性があります。
- リソースの浪費: マルウェアは CPU や帯域幅などのシステム リソースを消費し、パフォーマンスの低下やサービスの停止を引き起こす可能性があります。これにより生産性が低下し、運用コストが増加する可能性があります。
- 法的およびコンプライアンス上のリスク: 感染した組織は、特にデータ侵害に機密情報や規制対象情報が含まれる場合、法的およびコンプライアンス上の問題に直面する可能性があります。その結果、罰金、法的措置、評判の低下が発生する可能性があります。
全体として、ダウンローダー マルウェアは、さらなる攻撃を促進し、影響を受けるシステムとネットワークのセキュリティと整合性に影響を与えるため、深刻な脅威となります。
