脅威アクターが銀行やその他の高価値組織を標的にフィッシングキャンペーンを展開し、従来のエンドポイント防御を回避するよう設計された認証情報・セッション窃取マルウェア「Phantom Stealer」を配布しています。
Fortraの研究者によると、このキャンペーンが特に懸念されるのは、攻撃者が高度に難読化されたファイルレス技術を駆使して検知を困難にし、マルウェアをほぼメモリ上でのみ実行させている点です。
大規模な認証情報窃取
「攻撃者の主な目的は、ブラウザの認証情報、セッションクッキー、金融データを密かに窃取することであり、冗長性を確保するためにTelegram、Discord、FTP、SMTPという4つの並列チャネルを通じてデータを外部送信します」と、Fortraは今週公開したレポートで述べています。Fortraの報告によると、「標的型フィッシング配信、高度な回避技術、幅広い認証情報収集能力、そして堅牢なマルチチャネル流出インフラの組み合わせにより、この脅威は高深刻度カテゴリに分類されます」と同社は警告しています。
Phantom Stealerは、サイバー犯罪者が70ドルから240ドルのサブスクリプション料金で利用できるマルウェア・アズ・ア・サービス(MaaS)製品です。Chrome、Firefox、Edgeといった主要ブラウザに保存された認証情報やセッションクッキーの窃取に加え、金融データ、暗号資産ウォレット情報、キーストローク、スクリーンショット、クリップボードの内容なども取得可能です。Fortraによると、Phantom Stealerは完全にメモリ上で動作するため、シグネチャベースのマルウェア検知ツールにはほぼ検知されません。
巧妙なドロッパー
Fortraが観測したPhantom Stealerの攻撃は現在も継続中です。攻撃は通常、見積依頼書など正規のビジネス文書に見せかけたファイルを添付したフィッシングメールから始まります。被害者が添付ファイルを開くと、高度に難読化されたバッチファイルが多段階の感染チェーンを起動し、最終的にPhantom Stealerを正規のWindowsエクスプローラープロセスに注入します。
Fortraによると、Phantom Stealerの感染チェーンは完全なメモリ実行に加え、検知やマルウェア解析を妨げるさまざまなアンチ分析技術も組み込んでいます。具体的には、難読化されたPowerShellコマンド、偽装されたAPIコール、隠しUnicode文字、そしてコマンドやファイル名などのデータを秘匿するためのBase64エンコード文字列などが含まれています。
Fortraの研究者、アランサス・メンデス・カシジャス氏によると、Phantom Stealerのドロッパーはその多層構造が特に注目に値します。この構造により、コードが実際に何をしているのかの把握が著しく困難になっています。カシジャス氏はDark Readingへのコメントで次のように述べています。「このケースをユニークにしているのは、ドロッパーの構成方法です。単純なBase64ではなく、Base64 + XOR + donutという組み合わせでした。つまり攻撃者はマルウェア本体ではなくドロッパーに注力しているということであり、解析の時点では研究者が実際に何が起きているか明確に把握できない仕組みになっています。」
Phantom StealerがWindowsエクスプローラープロセスに注入されると、ブラウザに保存されたパスワードや認証情報をはじめ、セッションクッキー、オートフィルデータ、パスワードマネージャー、SaaS(Software-as-a-Service)ツール、オンラインバンキングシステムへの完全なアクセスが可能になります。さらに、ユーザーのデスクトップのスクリーンショット取得や、システム再起動後も継続するパーシスタンス維持も行えます。Fortraは「銀行のエンドポイントにおけるPhantom Stealerの1セッションだけで、振込システム、顧客データ、あるいはネットワーク管理者の認証情報へのアクセス権を持つ認証情報を流出させることができます」と述べています。また「このスティーラーはMaaSとして動作するため、流出したログは複数のアクターによって売却または直接使用される可能性があります」とも指摘しています。さらに、Phantom StealerがMaaS製品であることから、その作者がマルウェアを積極的に保守・更新しながら複数の脅威アクターに提供し続けているとFortraは説明しています。
Phantom Stealerの脅威を追跡しているGroup-IBの研究者も、このマルウェアをサイバー犯罪者が認証情報窃取活動を拡大できる事例として以前から指摘しています。2025年11月から2026年1月にかけて、Group-IBはヨーロッパの物流、製造、テクノロジー分野の組織を標的にした持続的なPhantom Stealerキャンペーンを追跡しました。
ブラウザ、新たなエンドポイントへ
Phantom Stealerキャンペーンは、認証情報、認証トークン、重要なビジネスデータを狙う攻撃者にとって、ブラウザが新たなエンドポイントとなっていることを改めて示しています。その背景には、SaaSプラットフォーム、クラウドアプリ、バンキングシステム、その他の重要なアプリケーションへの主要な入口としてブラウザが機能するようになったことがあります。また、現代のブラウザは膨大な情報を保存しており、サイバー犯罪者にとって非常に価値の高い標的となっています。
Fortraは、Phantom Stealer脅威に対抗するために組織が活用できる侵害の痕跡(IoC)やその他のテレメトリ情報を公開しています。また、カシジャス氏はこうした脅威の検知においてシグネチャベースのツールだけに頼らないよう組織に助言しています。「組織は振る舞いベースのAV/EDRの導入を優先する必要があります」と同氏は指摘します。「これにより、異常なコマンドラインや環境変数の作成といった不審な動作をスキャンできるようになります。」
