本記事では,CYNEX Co-Nexus Aの解析活動の一環としてSNSインストーラに偽装したマルウェアを解析した結果を紹介します.なお,本解析は2026年3月に実施したものとなります.
2026年1月以降,VirusTotal 上で日本国内の IP アドレスから新規にアップロードされたSNSアプリのインストーラに偽装した検体を複数確認しました.
今回確認した 3 検体は,STARDUST上で実行すると見た目上は正規の SNSアプリのインストーラのように振る舞ったものの,内部では共通のバックドア機能を持つマルウェアを展開しました.共通する特徴としては以下が挙げられます.
本記事では3つの検体のうち,グローバルで利用されるSNSアプリのインストーラに偽装した検体を例に挙動を解説します.
検体実行時の動作概要を以下に示します.
この偽のインストーラファイルを実行すると,最初に以下のファイルが「C:\escsvc\」に作成されました.
その後,アプリのインストール中に,toolsps.exeによりWindowsのUAC(ユーザーアカウント制御)画面が2回表示されました.
toolsps.exe はPowerShell を実行可能なMicrosoftが作成したSQL Serverの正規の付属ツールSQLTOOLSPS.exeであり,レガシー対応向けのために存在しており,現在は利用が推奨されていません[1].
2回目のUAC画面のタイミングで「はい」を押すと,図2右に表示されているPowerShellコマンドを引数にtoolsps.exeが実行されるようになっており,コマンドの内容はC:\escsvc\ フォルダに作成された3.txtを復号し実行するというものでした.その後3.txtが実行されるとサーバからバックドアスクリプトである1.ps1をダウンロードし実行しました.
以降では,特徴的な挙動について解説していきます.
上述の偽装インストーラの初期実行時の処理において,本マルウェアではタスクトレイプロセスの情報からアンチウイルスソフトが実行中かどうかを確認し,処理を分岐させるスクリプトが実装されていました.同じような検知回避を行う事例としてValleyRATの解析記事がセキュリティベンダーにより公開されています[2].
特定のアンチウイルスソフトなどが実行中の場合には,関連ファイルの4.txtを復号し,偽装元のSNSアプリインストーラ本体である5.exeをキーボードエミュレーションによって自動実行するスクリプトを実行するようになっていました.これは,ユーザ操作によるファイル実行と見せかけるためであると推測しています.一方,該当するアンチウイルスソフトが確認されない場合には,偽装元の SNS アプリインストーラ本体である 5.exe が 通常の方法で起動されます.
続いて,永続化の仕組みとして大きく2つの手法が実装されていました.
プロセスの相互監視による永続化
toolsps.exe により2つの 監視用PowerShell プロセスが生成され,相互に監視し合う構成が確認できました.
この構成により,いずれか一方の監視用プロセスが終了しても二つのプロセスおよびバックドア本体プロセスが継続される構造となっていました.
レジストリ変更による永続化
また,以下のレジストリを変更し環境起動時に指定のプロセスを実行するという永続化の仕組みも備えていました.
mshta.exeとは,HTMLアプリケーション(.hta)を実行するためのWindows標準ツールですが,レジストリに登録されたプロセスをみると実行ファイル(.exe)を呼び出すものとなっています.そこで,escsvc.exeを確認すると内部にHTAスクリプトを内包していることが分かりました.
mshta.exeはファイル中のHTAスクリプトの位置を特定し実行するという動作を行うため,「MSHTA C:\escsvc\escsvc.exe」を実行することによりescsvc.exeファイル中のHTAスクリプトを特定し実行することができ,この操作により永続化を実現しています.
レジストリ変更による永続化の仕組みで,mshta.exeでescsvc.exeファイルに埋め込まれたHTAスクリプトを実行していた理由は,アンチウイルスソフトによる検知を回避するためだと推測しています.escsvc.exeには正規のコード署名がされており, Windowsのコード署名検証処理では無視される証明書テーブル[3]に不正なスクリプト(HTAスクリプト)が埋めこまれていました.
これにより,アンチウイルスソフトによる検知を回避し,mshta.exeのHTAスクリプトを探して実行するという動作を悪用し不正なスクリプトを実行しているものと推測しています.
PowerShellコマンドの実行によりDNS TXTレコードに記載されたURLへアクセスし,二次検体としてバックドア本体(1.ps1)をダウンロードしました.
ダウンロードされたバックドア本体(1.ps1)には以下のような特徴がありました.
WebSocketによりTCPやHTTPの接続ログが少なくなるため,C2接続が見つかりにくくなる効果があると思われます.
セキュリティベンダーによる本検体に類似した検体の解析レポートでは,start_keylogger, start_screen_monitorなど,多数のコマンドが紹介されていますが[4],本マルウェア検体では実装されているコマンドは限定的で,セッション確立,データ送信,リクエスト処理など基本的なものに絞られていました.
上述のバックドアの「say」コマンドにより実行されたと思われるキーロガースクリプトと仮想通貨監視スクリプトについて解説します.
キーロガースクリプト
このスクリプトにはクリップボード監視や,キー入力時のアクティブウィンドウを記録する機能が実装されていました.
仮想通貨監視スクリプト
さらに,バックドアを介して仮想通貨アドレスを監視する別のスクリプトが実行されていることが確認されました.このスクリプトは,先述のキーロガースクリプトとは異なる機能を持ち,クリップボードを監視し,BTC(ビットコイン),ETH(イーサリアム),USDT(テザー)のアドレスがコピーされた場合,攻撃者が用意した異なるアドレスにクリップボードを書き換える機能が実装されていました.
我々のSTARDUSTを用いた取り組みの一環で行ったSNSインストーラに偽装したマルウェアの観測について,その結果を共有しました.3件の検体はそれぞれ異なるSNSアプリのインストーラに偽装していましたが,挙動は大きく共通しており,これらのマルウェアは主に以下の共通点を持っていました.
本観測ではマルウェアの初期侵入経路については特定できませんでしたが,偽装されたアプリには日本でも利用されるSNSアプリが含まれており,日本をターゲットとした攻撃キャンペーンの一部である可能性があります.入手元が明らかでないインストーラを利用することで本マルウェアの被害にあう可能性が高まるため注意が必要ですが,以下の一般的なマルウェア対策を徹底することで,感染リスクを大幅に低減することが可能です.
[PCの利用者]
[PCの管理者]
[1] https://www.microsoft.com/en-us/sql-server/blog/2016/06/30/sql-powershell-july-2016-update/
[2] https://www.fortinet.com/jp/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers
[3] https://learn.microsoft.com/ja-jp/windows/win32/debug/pe-format
Posted:Yoshiyuki NAKANO (Hitachi Solutions, Ltd.), Takayuki SATO (Hitachi, Ltd.), Shingo YASUDA (NICT)
©2026 Cybersecurity Nexus
