PureLogsインフォスティーラーマルウェアの亜種が、悪意のあるJavaScriptファイルを使用してWindowsシステム上で多段階の感染チェーンを起動する、発注書をテーマにしたフィッシングメールを通じて配布されています。
FortiGuard Labsによる新たな分析によると、このキャンペーンは偽の発注書メッセージにRARアーカイブを添付したものを使用しています。
アーカイブには、実行チェーンを開始するために使用される悪意のあるJavaScriptファイルが含まれています。
JavaScriptとPowerShellの実行
フィッシングメールは受信者に対し、アーカイブを開いて発注書を確認するよう促します。
FortiGuard Labsによると、分析対象のケースでは、このメールは件名に「ウイルスを検出しました」と表示され、FortiMailによってブロックされ配信が阻止されました。
ラボ環境において、FortiGuard Labsは、JavaScriptファイルが実行されるとPowerShellコードを復号化し、C:\Tempフォルダにランダムな名前の.ps1ファイルとして書き込むことを確認しました。
このスクリプトはその後、実行ポリシーをバイパスし、プロファイルを読み込まず、ウィンドウを非表示にした状態でPowerShell.exeを通じて実行されました。
PowerShellベースのマルウェアについてさらに読む:偽のGeminiおよびClaude CodeサイトがSEOポイズニングでインフォスティーラーを拡散
ドロップされたPowerShellファイルにはBase64エンコードされた暗号化データが含まれていました。FortiGuard Labsはコンテンツをデコードし、XOR-with-rotation方式で復号化し、その結果をファイルレスPowerShellスクリプトとして実行したと述べています。
このスクリプトはメモリ上で2つの.NETモジュールを展開し、マルウェアをスタンドアロンの実行ファイルとして起動するのではなく、プロセスホローイングを使用して正規のWindowsプロセスであるMsBuild.exeの内部でペイロードを実行しました。
PureLogsが認証情報とウォレットを標的に
インジェクトされた.NETモジュールは、埋め込みリソースからダウンローダーコンポーネントを読み込み、DES(データ暗号化標準)を使用して復号化し、メモリ上で展開しました。ダウンローダーはその後、コマンドアンドコントロール(C2)サーバーに接続し、プラグインモジュールを要求しました。
FortiGuard Labsは、ダウンロードされたプラグインをファイルレスのPureLogs亜種として特定しました。このモジュールは、感染したシステムから機密データを収集した後、圧縮・暗号化してC2サーバーに送信するよう設計されています。
-
システム詳細情報およびスクリーンショット
-
クリップボードの内容
-
ブラウザの認証情報、Cookie、セッショントークン
-
Discord認証データ
-
暗号資産ウォレットのファイルおよびキー
-
Outlook、FileZilla、OpenVPN、ProtonVPNを含むアプリケーションの認証情報
PureLogsモジュールは、Google Chrome、Microsoft Edge、Brave、Opera、Yandex Browser、Mozilla Firefox、Waterfox、LibreWolfなど、幅広いブラウザを標的としました。また、被害者のパスワードなしにアカウントへのアクセスを可能にするトークンを求め、Discordのディレクトリもスキャンしました。
このレポートは、組織に対してメールフィルタリングの強化、不要なスクリプト実行の制限、異常なPowerShellアクティビティおよびプロセスホローイングの監視を推奨しました。FortiGuard Labsはまた、このキャンペーンに関する侵害の痕跡(IoC)と検出詳細を公開しました。
翻訳元: https://www.infosecurity-magazine.com/news/purelogs-phishing-purchase-order/
