ハッカーが偽のビジネスメールでVIP Keyloggerを拡散

ハッカーたちは、日常的なビジネス文書を装ったフィッシングメールを通じてVIP Keyloggerを積極的に展開しており、多層構造のローダー、ステガノグラフィー、メモリ内実行を駆使して、侵害されたシステムから認証情報やその他の機密データを密かに窃取しています。

最近のVIP Keyloggerキャンペーンはソーシャルエンジニアリングに大きく依存しており、巧妙に作成されたフィッシングメールが正規の銀行振込通知、調達注文、物流更新、その他の財務・業務関連メッセージに見せかけて使われています。

添付ファイルは通常、ビジネス文書に偽装したスクリプトベースのローダーまたはアーカイブであり、請求書、支払い確認書、または社内承認書を装ってユーザーに開封を促します。

STRTは2026年3月から4月にかけて収集した200件以上のVIPスクリプトローダーサンプルを分析し、ユーザーの操作確率を高めるために財務ワークフローに沿った一貫した命名パターンが使われていることを確認しました。

VirusTotalなどのサービスで観察されたこれらの命名規則は、攻撃者が通常のビジネストラフィックに紛れ込むのを助け、ユーザーレベルとメールゲートウェイレベルの両方で疑惑を低減させています。

VIP Keyloggerの感染チェーンは、VBScript（.vbs）、JavaScript（.js）、バッチファイル（.bat）という3つの主要スクリプトローダーファミリーによって駆動されており、いずれも静的解析およびセキュリティツールを回避するために高度に難読化されています。

悪意のあるVBScriptの亜種は、ファイルの冒頭と末尾に大量のジャンクコードを埋め込み、実際のペイロードを中央に隠しており、実行時に長いHEXエンコード文字列をデコードしてPowerShellステージャーを生成します。

このPowerShellステージャーは、デコードされたスクリプトをユーザー環境変数（例：INTERNAL_DB_CACHE）に書き込んで実行した後、それを削除することでファイルシステム上の痕跡を最小化しますが、HKCU\Environment レジストリハイブには検出可能な痕跡が残ります。

Splunk脅威調査チーム（STRT）がGBhackersと共有したレポートは、このインフォスティーラーが一般的なフィッシングの誘い文句と回避スクリプト技術を組み合わせて、従来の防御を突破し、エンタープライズ環境での検出を困難にしている手法を示しています。

JavaScriptベースのローダーも同様のパターンに従い、深い難読化を使用してコードを隠蔽し、最終的にはPowerShellを起動して後続のステージがペイロードの復号とメモリ内ロードを実行します。

ハッカーによるVIP Keyloggerの拡散

STRTが観察した主要な回避技術のひとつは、感染チェーン中にダウンロードされるPNG画像の内部に悪意あるコンポーネントを隠すステガノグラフィーの使用です。

PowerShellステージャーは攻撃者が管理するインフラからイメージファイルを取得します。最初のPNGにはエンコードされたダウンローダーが含まれ、2番目のPNGには難読化された形式で最終的なVIP Keyloggerペイロードが埋め込まれています。

デコードルーティンは埋め込みデータ内の特定のマーカーを探し、base64パターンを偽装している文字を置換し、文字列を逆順にしてからbase64デコードを行い、実行可能なコンテンツをメモリ内で再構築します。

このアプローチにより、攻撃者はマルウェアの最も重要なステージをメモリ内で処理し、従来の実行ファイルをディスクに書き込むことなく、シグネチャベースのツールによる検出を大幅に困難にします。

デコード後、VIP Keyloggerは段階的なPowerShellを使用して複数のPEモジュールを復号し、リフレクティブローディング技術を使ってaspnet_compiler.exeなどの正規の.NETユーティリティに最終ペイロードをインジェクトします。

最初のモジュールは、「Invoke-AssemblyExecution」関数を使用して、2番目の実行ファイルであるVIP Keyloggerを正規のaspnet_compiler.exeプロセスにインジェクトするために設計された.NETモジュールです。

信頼された Windowsプロセス内で動作することで、スティーラーは通常のアクティビティに紛れ込み、署名済みのMicrosoftバイナリを本質的に安全として扱う単純なホワイトリストを回避することができます。

持続性確保のために、あるローダー亜種はバッチファイル内にPowerShellステージャーを隠し、デコードされたスクリプトを%AppData%\Microsoft\Windows\Librariesなどのユーザー書き込み可能な場所に書き込んだ後、UserInitMprLogonScript レジストリキーを設定してユーザーログオン時にマルウェアが実行されるようにします。

これにより、VIP Keyloggerは再起動後も引き続きアクティブな状態を維持し、検出・削除されない限り継続的にデータを窃取します。

ホスト上でアクティブになると、VIP Keyloggerはキーストローク、ブラウザに保存された認証情報、Cookie、自動入力データ、クリップボードのコンテンツ、Wi-Fiプロファイル、スクリーンショットを収集する本格的なインフォスティーラーとして機能し、攻撃者にとって窃取情報の価値を最大化します。

このマルウェアはChromiumベースのブラウザ、Firefoxファミリーの製品、Discordなどのアプリケーションを標的とし、それらのローカルストレージとデータベース構造を悪用して認証情報やセッショントークンを大規模に収集します。

解析回避のため、マルウェアはIPレピュテーション照合やホスト名比較などの環境チェックを実行してサンドボックスや自動解析環境を検出し、疑わしい痕跡が見つかった場合には自己削除または実行を変更することができます。

その後、窃取したデータをTelegramボットや専用C2サーバーを含む複数のコマンド＆コントロールエンドポイントに送信し、標準的なWebプロトコルを利用して通常の外向き通信に紛れ込みます。

STRTの調査はVIP KeyloggerのふるまいをMITRE ATT&CKにマッピングし、防御担当者が環境内でこのアクティビティを検出するためのいくつかのSplunkアナリティクスを提供しています。

価値の高いテレメトリには、HKCU\Environment下の異常に長い値またはUserInitMprLogonScriptキーのレジストリ変更の監視、通常とは異なるディレクトリからのスクリプトによる.NETユーティリティの起動、環境変数操作と動的コード実行を組み合わせたPowerShell ScriptBlockログなどが含まれます。

IOC

注意： IPアドレスとドメインは偶発的な名前解決やハイパーリンク化を防ぐために意図的に無害化されています（例：[.]）。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。