サイバー犯罪者は継続的にステルス戦術をアップグレードして、現代的なセキュリティ防御を回避しています。悪意のあるファイルを直接ダウンロードする代わりに、脅威アクターは危険なペイロードを日常的なメディア形式に隠蔽しています。
FortiGuard Labsの研究者は最近、この正確な戦略を利用した高度なフィッシングキャンペーンを発見しました。
攻撃者はPawsRunnerというステガノグラフィローダーを使用して、PureLogsインフォステーラーをひそかに展開しています。
攻撃シーケンスは非常に欺瞞的なフィッシングメールから始まります。攻撃者は緊急メッセージ付きの偽のインボイスを送信し、被害者に直ちにファイルを開くよう圧力をかけます。
この添付ファイルはTXZアーカイブで、隠されたJavaScriptペイロードが含まれた圧縮ファイル形式です。
セキュリティアナリストを混乱させるために、攻撃者はスクリプトに中国語、日本語、ロシア語など複数言語で乱雑なコメントを挿入します。
実行されると、スクリプトは被害者のマシン上に複数の隠されたすべての環境変数を作成します。
その後、隠されたPowerShellウィンドウを静かに起動して、それらの変数に格納されたコマンドを実行します。
PowerShellスクリプトはデータをデコードし、Advanced Encryption Standardを使用して復号化し、メモリに展開します。これにより、.NETローダーの最初のステージが完全にファイルレスで実行でき、ハードドライブに痕跡を残しません。
このローダーはその後、メインのPawsRunner実行可能ファイルを復号化します。PawsRunnerには独特な特徴があり、開発者は悪意のあるアプリケーションアイコンに一貫して猫の写真を使用しています。
実行されると、PawsRunnerは様々なネットワークツールをサイクルして、インターネット接続を確立します。リモートサーバーに接続し、PNG画像のダウンロードを具体的にリクエストします。
ダウンロードされたファイルは単なる無害な猫の写真に見えますが、実際には隠された脅威が含まれています。
PawsRunnerはステガノグラフィを使用して、画像の構造内に深く埋め込まれた暗号化データを検出します。ダウンロードが失敗した場合、マルウェアには攻撃を継続させるためのバックアップURLを備えた組み込みフォールバックシステムすら備えています。
複数のバックグラウンドタスクを同時に実行し、発見されたデータを即座にリモートサーバーに送信します。
インフォステーラーは財務情報および個人情報を積極的にターゲットするよう設計されています。
ステガノグラフィ、ファイルレス実行、および迅速なデータ抽出のこの組み合わせは、このキャンペーンを重大な脅威にします。
攻撃者はマルウェアを無害な画像として偽装することで、PureLogsが被害者の最も機密性の高いアカウントを静かに吸い尽くすことを保証します。
翻訳元: https://cyberpress.org/pawsrunner-deploys-purelogs-infostealer/