高度な回避能力を持つPureLogsマルウェアの亜種を配布する巧妙なフィッシングキャンペーンが確認されており、被害者を騙して悪意のある添付ファイルを開かせ、気づかれないうちにマシンを侵害します。
攻撃者は正規のWindowsツール、特にMSBuild.exeを巧みに悪用して痕跡を隠蔽しながら、暗号資産ウォレット、ブラウザのパスワード、システムデータなどの機密情報を積極的に窃取します。
攻撃は発注書を装った偽のメールから始まります。このメールには「PO 2026-P0803.rar」に類似した名前のRARアーカイブの添付ファイルが含まれています。
メールが通常のビジネス上の依頼に見えるため、不審に思わない従業員がファイルを開くよう誘導されます。
被害者がアーカイブを開くと、難読化されたJavaScriptファイルが実行されます。このスクリプトが攻撃シーケンスの最初のきっかけとなります。
このスクリプトは隠蔽されたPowerShellスクリプトを密かに復号し、システム上の一時フォルダーに投下します。
警戒を避けるため、JavaScriptコードは非表示ウィンドウを使用してこの新たに作成されたPowerShellファイルを実行します。そのため、ユーザーのスクリーンにはコマンドプロンプトが表示されることはありません。
PowerShellスクリプトには大量のエンコードされたデータブロックが含まれており、これをメモリ上で直接デコードします。
これによりファイルレス攻撃が実現され、コアとなる悪意あるコードはセキュリティスキャナーが通常チェックするコンピューターのハードドライブ上に実際には保存されません。その後、スクリプトはプロセスハロウイングと呼ばれる手法を実行します。
プロセスハロウイングはデジタルの変装のようなものです。マルウェアは安全で信頼された正規のWindowsプロセス(この場合はMicrosoft .NETフレームワークツールのMsBuild.exe)を一時停止状態で作成し、その正規のコードをくり抜いて悪意あるペイロードに置き換えます。
MsBuild.exeを装って安全に動作しながら、マルウェアのダウンローダーモジュールはコマンド&コントロール(C2)サーバーに接続します。
単純なPingリクエストで接続を確認した後、主要な攻撃ツールであるファイルレスのPureLogsプラグインをダウンロードします。このプラグインは商用の難読化ツールによって強固に保護されており、セキュリティアナリストを妨害してリバースエンジニアリングの試みをブロックします。
Fortinetの調査によると、感染したデバイスに対して大規模なスキャンを開始します。その主な目的は、できる限り多くの価値あるデータを収集することです。
マルウェアはOSのバージョン、実行中のプロセス、画面解像度などの基本的なシステム情報を収集し、デスクトップのスクリーンショットまで撮影します。
その後、窃取したデータをすべて圧縮し、軍事レベルのAESで暗号化した上で、セキュアなHTTP POSTリクエストを通じて攻撃者に送信します。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/purelogs-abuses-msbuild-process/