PXA Stealerとして知られる新たに発見されたPythonベースのマルウェアが、60カ国以上の被害者から機密データを盗み出す大規模なサイバー犯罪キャンペーンの一部として観測されています。
この作戦はセキュリティ研究者によって「Ghost in the Zip」と名付けられ、2024年後半からSentinelLabsとBeazley Securityによって追跡されており、情報窃取型マルウェアの開発と展開方法における顕著な進化を示しています。
Telegramボットと署名済みアプリによるステルス化
このマルウェアは、PNGやPDFドキュメントに偽装されたアーカイブファイルを通じて配布され、しばしばユーザーや分析者の注意をそらすためのダミーファイルが同梱されています。
これらの悪意あるアーカイブは、Haihaisoft PDF Readerや古いバージョンのMicrosoft Wordなどの正規かつ署名済みソフトウェアを利用してPXA Stealerをサイドロードします。
一度展開されると、スティーラーはTelegramベースのコマンド&コントロール(C2)システムを使ってデータを外部に送信し、Cloudflare Workersを経由して情報を中継します。
このキャンペーンは、保存されたパスワード、ブラウザのクッキー、セッショントークン、自動入力データ、暗号通貨ウォレット、システムメタデータなど、複数のデータタイプを標的としています。盗まれたデータはZIPアーカイブに圧縮され、攻撃者が管理するチャンネルに送信され、保管や再販が行われます。
Ghost in the Zipからの主な発見
本日SentinelLabsが発表したアドバイザリによると、PXA Stealerキャンペーンは、ステルス性とスケーラビリティを重視したモジュール型・クラウド統合型マルウェアオペレーションへの傾向の高まりを反映しています。
サイドローディング技術と信頼されたアプリケーションの組み合わせ、そして広く利用されているクラウドプラットフォームの悪用により、攻撃者はマルウェアの拡散範囲を広げつつ、検知を困難にしています。
SentinelLabsによる本作戦の分析では、いくつかの注目すべき技術的・運用的特徴が明らかになっています:
-
4,000以上のユニークな被害者IPが特定されている
-
アメリカ、韓国、オランダを含む少なくとも62カ国が影響を受けている
-
悪意あるコードはしばしば署名済みかつ信頼されたアプリケーションを通じて配布される
-
インフラの悪用にはTelegram、Cloudflare Workers、Dropboxが含まれる
-
Pythonペイロードはステルスのため「svchost.exe」と偽装されている
現代のマルウェアキャンペーンにおけるサイドローディングとインフラ悪用についてさらに読む:新たなフィッシング攻撃がビッシングとDLLサイドローディング技術を組み合わせる
この脅威はTelegramを基盤としたマーケットプレイスにも統合されており、盗まれたデータへのアクセスが犯罪的なサブスクリプションモデルの一部として再販されています。これらのプラットフォームはデータ処理や収益化の多くを自動化し、脅威アクターの技術的負担を軽減しつつ、リーチとスピードを拡大しています。
現代型マルウェア・アズ・ア・サービスの実態
特に2025年7月に観測された攻撃の波は、新たな高度化のレベルを示しているとSentinelLabsは述べています。
遅延実行、署名済みソフトウェア、リネームされたバイナリなどが、標準的なツールでは検知が困難なマルウェアの特徴に寄与しています。データ窃取がより産業化される中、このキャンペーンはマルウェアが配布、データ処理、収益化までを含むフルサービスのエコシステムによってますます支えられていることを浮き彫りにしています。
「これら最近のキャンペーンにおける進化した手口は、敵対者たちが展開チェーンを綿密に洗練させており、検知や分析がますます困難になっていることを示しています」とSentinelLabsは述べています。
「PXA Stealerおよびその背後にいる脅威アクターは、より大きな情報窃取エコシステムに引き続き貢献しています。」
防御側は今や、単にコードを阻止するだけでなく、これらの作戦を支えるインフラや経済モデルの撹乱にも注力しなければなりません。
翻訳元: https://www.infosecurity-magazine.com/news/ghost-zip-behind-pxa-stealer/