ハッカーは、侵害されたウェブサイトとtranscript.pdf.jsという偽装ファイルを悪用し、PowerShell、信頼された クラウドインフラ、メモリ内実行を多用する多層的なファイルレス感染チェーンを通じてPureLog Stealerを配布しています。
関連する調査資料で解説されているこのキャンペーンは、現代のスティーラー型マルウェアが、目立つマルウェア実行ファイルではなく、ソーシャルエンジニアリングと環境寄生型(LotL)技術にますます依存していることを示しています。
初期侵入のベクトルとなるのは、transcript.pdf.jsのような文書ファイルに偽装した悪意あるJavaScriptファイルで、隠しファイル拡張子と、見慣れたファイル名に対するユーザーの信頼を悪用するよう設計されています。
ファイルを開くとWindows Script Hostがスクリプトを起動し、実行ポリシーのバイパスを有効にした状態でPowerShellを呼び出します。この第一段階のスクリプトは意図的に小さく使い捨て仕様になっており、マルウェア本体を含むのではなく、次のペイロードを呼び出すランチャーとして機能します。
そこからPowerShellは、攻撃者が管理するBlogspotのページから追加のステージを取得します。Google所有のインフラを悪用することで、悪意あるトラフィックをより正当なものに見せかけ、単純なドメインレピュテーションフィルターの有効性を下げているのです。
脅威アクターはさらに、おとりコンテンツやクリーンアップ処理、短い実行遅延を利用して解析を困難にし、被害システム上に残る痕跡を減らしています。
このキャンペーンが技術的に注目される点は、防御回避の手法の幅広さです。ローダーはXORで難読化されたペイロード、実行時のデコード、動的なURL生成、リフレクションによる.NETアセンブリの読み込みを使用しており、コードはディスクに書き込まれることなくメモリ上で再構築・実行されます。

GBhackersと共有されたレポートの中でSecuronix社が述べているように、関連する調査資料で解説されているこのキャンペーンは、現代のスティーラー型マルウェアが、目立つマルウェア実行ファイルではなく、ソーシャルエンジニアリングと環境寄生型技術にますます依存していることを示しています。
このファイルレス設計により、フォレンジック証拠が限られるほか、ファイルハッシュや静的シグネチャ、ディスク上のサンプルに依存する従来型のアンチウイルス製品の有効性も弱まります。
PureLog Stealerキャンペーン
攻撃者は必要に応じて、regsvcs.exe、InstallUtil.exe、msbuild.exe、csc.exe、vbc.exe、ilasm.exe、aspnetcompiler.exeといった信頼されたMicrosoft製バイナリにも切り替えて利用します。

こうしたLOLBIN型の実行経路は、悪意ある活動を通常の管理業務や開発者のワークフローに紛れ込ませることができるため重要です。これにより、企業環境での検知が容易に遅れてしまう可能性があります。
最終的なペイロードはPureLog Stealerで、ブラウザの認証情報、Cookie、自動入力データ、閲覧履歴、暗号資産ウォレット情報、ホストの偵察データを収集するために作られた.NET製情報窃取型マルウェアです。
収集したデータは、Base64や16進数、生のPEファイルではなく、意図的にエンコードされた10進数形式で保存されます。
この調査では、Chrome、Edge、Firefox、Brave、Operaといった主要ブラウザへの対応に加え、MetaMask、Exodus、Atomic Wallet、Electrum、Trust Walletといったウォレットが標的として挙げられていることも指摘されています。

この対応範囲の広さにより、このマルウェアは特に危険なものとなっています。窃取されたセッションCookieやトークンは、パスワードリセットや、場合によってはMFA(多要素認証)による保護をも回避できてしまうためです。
このキャンペーンは、初期侵入が明らかなマルウェアのダウンロードではなく、一見ごく普通のファイルや正規プラットフォームの悪用を通じて発生することが多いという事実を改めて示しています。
セキュリティチームは、Invoke-RestMethodとInvoke-Expressionの組み合わせ、実行ポリシーのバイパス、不審な.jsファイルのダウンロード、wscript.exeから生成される異常な子プロセスを、優先度の高いテレメトリとして扱うべきです。
PowerShellのスクリプトブロックログ、プロセスの親子関係、メモリ常駐型の.NET実行を監視することは特に重要です。これらは、この攻撃が証拠を残す主な場所だからです。
翻訳元: https://gbhackers.com/purelog-stealer-campaign/