サイバーセキュリティ · 1 min read · Sep 22, 2025

BlackCATランサムウェアグループがマルバタイジングを通じて悪意のあるインストーラーを配布

セキュリティ

セキュリティ研究者のトレンドマイクロは、BlackCAT(ALPHVとも知られる)が、Windows用の正当なWinSCPファイル転送アプリに見せかけた偽のウェブサイトに人々を誘引するために、マルウェアを含む広告活動を行っていることを発見しました。しかし、マルウェアを含むインストーラーを配置しています。BlackCatは、GoogleおよびMicrosoft Bingのページでこのキャンペーンを実行していることが確認されました。

このランサムウェアグループは、IT専門家、システム管理者、ウェブ管理者のデバイスを感染させる可能性があるマルバタイジングを餌にして、企業ネットワークへの初期アクセスを得ようとしています。

さて、WinSCPは無料でオープンソースのSSHファイル転送プロトコル、Amazon S3、WebDAV、およびWindows用のセキュアコピー(SCP)クライアントであり、WinSCPの主な機能は、ローカルデバイスからリモートサーバーにファイルを安全に転送することです。

攻撃は、ユーザーがGoogleまたはBingでWinSCPのダウンロードを検索し、その後、正当なWinSCPダウンロードウェブサイトの上に配置された悪意のあるプロモート結果を取得することで始まります。

その後、ターゲットは悪意のある広告をクリックし、WinSCPを介して自動ファイル転送を実行するためのチュートリアルに誘導される悪意のあるウェブサイトに移動します。

読む: 脅威アクターがトロイの木馬化されたスーパーマリオ3ゲームインストーラーを使用してマルウェアを拡散

BlackCATランサムウェアグループがマルバタイジングを通じて悪意のあるインストーラーを配布 1

これらのウェブサイトは、GoogleおよびBingのアンチアビューズクローラーによる検出を逃れるために、悪意のあるインストーラーを持たず、代わりに訪問者を正当なWinSCPの偽の類似品にリダイレクトし、ダウンロードボタンを表示します。

通常、これらの偽の類似ウェブサイトは、目的のために本物のwinscp.netドメインに似たドメイン名を持っています。たとえば、WinSCP(dot)comのように。

BlackCATランサムウェアグループがマルバタイジングを通じて悪意のあるインストーラーを配布 2

訪問者がダウンロードボタンをクリックすると、「setup.exe」とmsi.dllを含むISOファイルを受け取ります。最初のファイルは訪問者を起動させるためのもので、2番目のファイルは実行可能ファイルによって起動されるマルウェアです。

サイバーセキュリティ企業によると、setup.exeが実行されると、msi.dllに通知し、ファイル転送アプリの正当なインストーラーからDLL RCDATAセクションのPythonフォルダーを抽出します。

BlackCATランサムウェアグループがマルバタイジングを通じて悪意のあるインストーラーを配布 3

このアクションを実行すると、トロイの木馬を含むpython.dllもインストールされ、Pythonという名前のランキーを作成して永続プロセスを作成します。その値は「C:\Users\Public\Music]python\phthonw.exe」です。

実行可能ファイルphthon.exeは、コマンドおよび制御サーバーアドレスに接続するCobalt Strikeビーコンを持つ変更された不明なpython310.dllに接続します。

BlackCATランサムウェアグループがマルバタイジングを通じて悪意のあるインストーラーを配布 4

Cobalt Strikeが被害者のマシンで実行されていると、彼らはより多くのスクリプトを実行し、感染を広げるためのツールを取得することが容易になります。

セキュリティ企業トレンドマイクロは、脅威アクターが以下のようなツールを使用していることを観察しました。

  • Findstr: XMLファイル内のパスワードを検索するために使用されるコマンドラインツール。
  • AdFind: Active Directory情報を取得するために使用されるコマンドラインツール。
  • Accesschk64: ユーザーおよびグループの権限観察に使用されるコマンドラインツール。
  • PowerShellコマンド: Zipファイルを抽出し、ユーザーデータを収集し、スクリプトを実行するために使用されます。
  • Anydesk: 継続的な永続性のために悪用される正当なリモートツール。
  • Pythonスクリプト: LaZagneパスワード回復ツールを実行し、Veeamの資格情報を取得するために使用されます。
  • KillAV BAT: ウイルス対策ソフトウェアによる検出を無効にし回避するために使用されるスクリプト。
  • PowerView: Active Directoryの観察および列挙に使用されるスクリプト。
  • PsExec、Curl、BitsAdmin: これらのツールはすべて、ネットワーク内での感染の横移動に使用されます。
  • PuTTY Secure Copy: このクライアントは、侵害されたマシンから収集された情報を外部に持ち出すために使用されます。

それだけではありません。脅威アクターは、これらのツールに加えて、ロシアのハッキングフォーラムで販売されているEDおよびウイルス対策無効化ツールであるSPY Termitorも使用しました。

セキュリティ企業の研究者は、上記のTTPS感染をBlack Catランサムウェアグループに関連付けており、彼らが調査したC2サーバーの1つでClopランサムファイルを発見したことから、このグループが2つのランサムウェアキャンペーンに関与している可能性があることを示しています。

読む: 大規模データ侵害: 10万以上のChat GPTアカウントが盗まれたとGroup IBが警告

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。