CopperStealerマルウェアクルーが新たなルートキットおよびフィッシングキットモジュールを備えて再浮上

CopperStealerマルウェアの背後にある脅威アクターは、CopperStealthとCopperPhishという2つの新しいペイロードを配信するための新しいキャンペーンを2023年3月と4月に再開しました。

トレンドマイクロは、この経済的な動機を持つグループをWater Orthrusという名前で追跡しています。この敵対者はまた、Bitdefenderによって2019年に詳細に説明されたScranosとして知られる別のキャンペーンの背後にいると評価されています。

Water Orthrusは少なくとも2021年以来活動しており、ペイパーインストール（PPI）ネットワークを利用して、クラックされたソフトウェアのダウンロードサイトに訪れた被害者をリダイレクトし、CopperStealerと呼ばれる情報盗難ツールを落とすことで悪用してきました。

2022年8月に発見された別のキャンペーンでは、CopperStealerを使用して、未承認のトランザクションを実行し、被害者のウォレットから攻撃者のコントロール下のものに仮想通貨を転送することができるクロムベースのウェブブラウザ拡張機能を配布しました。

トレンドマイクロによって文書化された最新の攻撃シーケンスは、CopperStealthを中国のソフトウェア共有ウェブサイト上の無料ツールのインストーラーとしてパッケージ化することで広まっています。

セキュリティ研究者のヤロミル・ホレイシとジョセフ・J・チェンは、「CopperStealthの感染チェーンでは、ルートキットをドロップしてロードし、後でそのペイロードをexplorer.exeと他のシステムプロセスに注入します」と、技術レポートで述べています。

「これらのペイロードは、追加のタスクのダウンロードと実行を担当しています。ルートキットは、ブロックリストに登録されたレジストリキーへのアクセスをブロックし、特定の実行可能ファイルとドライバの実行を防止します。」

ドライバのディニーリストには、火龍、金山、および360企鵝といった中国のセキュリティソフトウェア会社に関連するバイトシーケンスが含まれています。

CopperStealthには、リモートサーバーに呼び出しを行い、感染したマシンで実行するコマンドを取得するためのタスクモジュールも組み込まれており、マルウェアがさらなるペイロードをドロップする能力を備えています。

CopperPhishキャンペーンは、2023年4月に世界中で検出され、無料の匿名ファイル共有ウェブサイトのPPIネットワークを介してマルウェアを展開するための類似したプロセスを利用しています。

「広告をクリックした後、訪問者はPPIネットワークによって設計されたダウンロードページにリダイレクトされ、ダウンロードリンクであるかのように装っています。ダウンロードされるファイルはPrivateLoaderであり、さまざまなマルウェアをダウンロードして実行します」と、研究者は述べています。

その後、PPIベースで提供されるダウンローダーサービスを使用して、クレジットカード情報を収集するためのフィッシングキットであるCopperPhishを取得して起動します。

これは、「rundll32プロセスを開始し、その中にブラウザウィンドウ（Visual Basicで書かれた）を持つ単純なプログラムをインジェクトする」という方法で達成され、被害者に対してQRコードをスキャンして身元を確認し、確認コードを入力して「デバイスのネットワークを回復する」ように促すフィッシングページを読み込みます。

「ウィンドウには、最小化または閉じるためのコントロールがありません」と、研究者は説明しています。「被害者はタスクマネージャーまたはプロセスエクスプローラでブラウザのプロセスを終了することができますが、メインのペイロードプロセスも終了する必要があります。そうしないと、ブラウザのプロセスは持続スレッドのため再度起動します。」

ページに入力された機密情報が正しければ、CopperPhishマルウェアは「身元確認が合格しました」というメッセージを表示し、被害者が前述の画面に入力できる確認コードを表示します。