脅威アクターは一見無害に見えるファイル内にマルウェアを隠すことが増えており、新しいキャンペーンがこの戦術がいかに効果的であるかを示しています。
攻撃は、TXZアーカイブ添付ファイルを含むフィッシングメールで始まります。緊急の請求書に偽装されたこのファイルは、被害者に素早く開くよう圧力をかけます。
解凍されると、アーカイブは複数の言語で書かれた誤解を招くコメントで満たされたJavaScriptファイルを明かし、おそらく分析を回避するためです。
ノイズの背後で、スクリプトは難読化された悪意のあるコマンドを含む多数の環境変数を定義しています。
次に、conhost.exeを介して隠しモードでPowerShellを起動し、攻撃が静かに実行されることを保証します。スクリプトはAESを使用してペイロードを復号化し、Gzipで圧縮を解除し、リフレクションを使用して直接メモリで実行し、フォレンジック痕跡を最小限にします。
デコードされたペイロードはPawsRunnerとして識別される.NETベースのローダーです。このローダーは別の実行ファイルを復号化し、実行の準備をします。特に、サンプル全体で一貫した小さな特性ですが、アプリケーションアイコンとして猫の画像をよく使用しています。
GBhackersと共有されたレポートでFortiGuard Labsが述べたように、ステガノグラフィと環境変数の悪用を使用してPawsRunnerという名のカスタムローダーを介してPureLogsインフォスティーラーを展開するフィッシング操作が明かされました。
PawsRunnerは、暗号化されたURLとネットワーク設定を含む構成データを初期化します。RC4を使用してコマンド・アンド・コントロール(C2)URLを復号化し、HttpClientやWebRequestなどの複数のAPIを循環させて追加のペイロードをダウンロードします。
重要なイノベーションはデータのリクエスト方法にあります。ローダーはHTTP応答でPNG画像を優先します。
PNGが返された場合、ステガノグラフィを使用して画像内に埋め込まれた隠されたデータを抽出します。具体的には、「iTXt」および「IEND」などのPNGチャンク内のマーカーを探して、暗号化されたペイロードデータを特定します。
たとえば、無害に見える猫の画像には、その構造内に付加された暗号化マルウェアが秘密に含まれている可能性があります。抽出して復号化されると、この隠されたデータは次段階のペイロードを明かします。
アーカイブから抽出されたJavaScriptファイルには、複数の関数が含まれており、それぞれの前に無関係なコメントが付いています。これらのコメントは、中国語、日本語、韓国語、ロシア語、ヒンディー語、アラビア語を含む言語の混合です。
プライマリダウンロードが失敗した場合、PawsRunnerは代替URLを使用したフォールバックメカニズムを含みますが、一部のサンプルではこれらを空白のままにしています。
ハッカーがPureLogsインフォスティーラーを隠す
研究者は、このローダーの初期バージョンが実行可能ファイルをダウンロードしたことに注目しています。時間とともに、画像からペイロードを抽出するように進化し、検出をはるかに困難にしました。
2026年3月以来、複数のイテレーションがpersistenceメカニズムと改善された回避技術を導入しており、Windows 11セキュリティ機能のバイパスを含みます。
猫をテーマにした画像と同様のコードパターンの一貫した使用により、分析者はこのローダーファミリーをPawsRunnerとして分類しました。
配信される最終的なペイロードはPureLogsで、Pureマルウェアファミリーにリンクされた.NETベースのインフォスティーラーです。難読化に.NET Reactorを、構成処理にProtobufを使用しています。
PureLogsは、リソースのみのアセンブリをロードすることで始まり、TripleDESを使用して復号化し、機能的なDLLに圧縮を解除します。このコンポーネントはC2サーバーの詳細、暗号化キー、キャンペーン識別子などの構成データを取得します。
主な機能を実行する前に、マルウェアは/pingエンドポイント経由でそのC2サーバーとの接続性をチェックします。次に、/pluginエンドポイントから追加モジュールをダウンロードし、AES-256を使用して復号化し、メモリで実行します。
PureLogsは広範なデータ収集のために設計されています。収集内容:
- 数十のChromium- およびFirefoxベースのブラウザからのブラウザデータ。
- 認証情報、クッキー、自動入力データ。
- 暗号通貨ウォレット情報と拡張機能。
- パスワードマネージャーと認証器データ。
- ファイル、VPN構成、メッセージングアプリデータ。
Windows Management Instrumentation(WMI)を使用して感染したシステムをプロファイルし、C2サーバーへの収集データ送信を暗号化されたHTTP POSTリクエスト経由で行います。
各データタイプは、/browser、/crypto、/filesearchなどの専用エンドポイントを通じて流出されます。
古いバージョンとは異なり、このバリアントは非同期操作を使用して速度を改善し、検出を回避します。送信されるすべてのデータはAESで暗号化され、Gzipを使用して圧縮されます。
このキャンペーンは「正当なファイルプラス隠されたデータ」技術への増大するシフトを強調しています。画像内にマルウェアを埋め込むことで、攻撃者はファイル検査に依存する従来のセキュリティツールをバイパスします。
この技術がより一般的になるにつれて、組織は単純な猫の写真さえも本格的なサイバー攻撃を隠すことができるようになったため、ファイル構造を検査し、異常なネットワークの動作を監視する検出戦略を強化する必要があります。
IOCs
C2:
5[.]101[.]84[.]202.
URL:
hxxps://everycarebd[.]com/imagelkjh0987[.]png.
SHA256:
8d0bcde739929fe41a6bcaaa62f7cba802af90b2ba8dea6ed1a4821236cdd588.
6910d27b9e1dc2229a8c280f5d0cea85146d50274c56a4d9a5b8d1793505b1b9.
93724f1a9ad3a28c171927fc449ac34dc6ca890f915f00210e8b305577388c6e.
0fcb86ae384e9975933314ac2a231f0ff46c0208556bf4a16f096a642d3f505e.
1b730de72f921458b6b162b105a9521a931f07e19d3cac53207c7a8efbc412f9.
e2308749f6b7b7573009d0cac6616a6aa83cecb1f2933e868776400d122c86ec.
注:IPアドレスとドメインは、誤った解決またはハイパーリンクを防ぐため意図的に改変されています(例:[.])。MISPやVirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ復元してください。
翻訳元: https://gbhackers.com/hackers-hide-purelogs-infostealer/
