フィッシング キャンペーンが、暗号化された悪意のあるペイロードを猫の写真に隠してターゲットのWindowsマシンに強力なPureLogs情報窃取ツールを密輸していることが、Fortinet研究者により発見されました。
攻撃
攻撃は、TXZアーカイブを含むフィッシングメールから始まり、請求書をテーマにした囮を使用して、被害者に素早く開くように圧力をかけます:
悪意のあるTXZアーカイブを含むフィッシングメール(出典:Fortinet)
抽出されたJavaScriptは、悪意のあるコマンドをプロセス環境変数に格納し(難読化のためにガベージテキストと多言語コメントも含まれている)、隠されたPowerShellセッションを起動してPawsRunnerという.NETアセンブリローダーをデコード、復号化、展開します。
PawsRunnerはRC4を使用してダウンロードURLを復号化し、複数のネットワークAPIを試してPNG画像を取得します。(Swiss Post Cybersecurityにより指摘された以前のキャンペーンでは、PNG画像はarchive.orgから取得されていました。)
その後、ステガノグラフィーマーカーを使用して画像(PNG)ファイル内に隠された暗号化されたペイロードを抽出し、Windows用イベントトレーシングとWindows 11のセキュリティ機能をバイパスします。
驚異的な情報窃取ツール
最終的な悪意のあるペイロードはPureLogs情報窃取ツールで、被害者のシステム環境をプロファイリングし、以下から認証情報、クッキー、セッショントークンを収集します:
- 世界中で使用される人気のある有名なWebブラウザから比較的知られていないブラウザまでの広範なリスト
- 100以上の暗号ウォレット拡張機能とデスクトップウォレット
- 通信アプリ(Discord、Telegram、Signalなど)
- パスワードマネージャー(Bitwarden、LastPass、1Passwordなど)
- 認証器(ブラウザ拡張機能経由)
- Steam、OpenVPN、PhontanVPN、Ngrok、OBS Studio、FileZilla、WinSCP、FoxMail、MailBird、MailMaster、Outlookなどの他のソフトウェア。
盗まれたデータはAES暗号化され、流出させられます。
「このバージョンのPureLogsは、タスク効率を向上させ、分析を複雑にするために広範なasync/awaitパターンを使用しています。さらに、コマンド&コントロール(C2)通信にはHTTPSを使用しています」と、研究者は付け加えました。
盗まれたデータは金銭的詐欺に使用されたり、犯罪市場で販売されたりする可能性があり、被害者の雇用主、銀行、または連絡先への後続攻撃を可能にする可能性があります。
増加するステガノグラフィー
ペイロードを画像ファイル内に隠すへの転換は、悪意のある活動を通常のネットワークトラフィックに混ぜるための意図的な努力を表しています:HTTPSを介してフェッチされたPNGファイル(合法的に見えるホストからかもしれません)は、実行可能ファイルの直接ダウンロードよりもはるかに少ないアラームを発生させます。
Fortinet によると、この技術は攻撃者によってますます使用されています。
ユーザーは、緊急に見えるか通常のように見えるかに関わらず、予期しないメールと添付ファイルを疑わしいものとして扱うこと、そして異常なファイル形式のファイルを開くことに注意することをお勧めします。
組織はさらに多くのことができます:従業員に請求書をテーマにした囮を検出する方法を訓練し、電子メールゲートウェイで一般的でないアーカイブ形式をブロックし、異常なPowerShell動作を監視し、メール添付ファイルからのJavaScript実行を制限し、メモリ内実行をカバーするエンドポイント検出を展開することができます。
翻訳元: https://www.helpnetsecurity.com/2026/05/19/purelogs-infostealer-delivery-steganography/
