悪意あるスクリプトをTrueTypeフォントファイル(.tff)に偽装する大規模なフィッシングキャンペーンが確認されました。偽装した.ttf拡張子を利用してLuaベースのローダーをWindowsシステムに忍び込ませ、複数のリモートアクセス型トロイの木馬や情報窃取型マルウェアを入れ替わりで展開する手口です。
Fortinet傘下のFortiGuard Labsが7月16日に公開した調査結果によると、このキャンペーンは2026年3月末から継続しており、ファイルレス技術と検出率の低いローダーを組み合わせてAgent Tesla、Remcos、XWorm、そして「Best Private LOGGER」と呼ばれるキーロガーを配布しているとのことです。
攻撃者は著名企業になりすまし、ビジネス提携を装った誘い文句を使って悪意あるアーカイブファイルを送りつけています。多くの場合、支払い関連の内容を装ったフィッシングメールに添付する形が取られていました。
Remcosの配布手口についてはこちらも参照: SHADOW#REACTORキャンペーン、テキストのみのステージングでRemcos RATを展開
偽装フォント、本物のローダー
Fortinetが確認したアーカイブには、文字列配列マッピングと制御フローの平坦化を駆使した大量のジャンクコードで包まれたJavaScriptファイルが含まれていました。手動での解析だけでなく、AIによる解析すらも欺くよう設計されています。
実行されると、このスクリプトは自身を%PUBLIC%\Librariesフォルダにコピーし、永続化のためのスケジュールタスクを設定した上で、LuaJITインタプリタかAutoIt実行ファイルのいずれかをドロップします。スクリプトとして扱われるファイルには.ttf拡張子が付与されており、正規のTrueTypeフォントに見えるよう偽装されていました。
証明書ライフサイクル管理(CLM)プロバイダーであるSectigoのシニアフェロー、Jason Soroko氏は、この設計は「セキュリティ制御においてファイル拡張子をファイルの種類や意図の証明として扱うことはできない」ことを示していると指摘しました。
同氏によれば、個々のコンポーネントは単体では怪しく見えない一方、それらを組み合わせた一連の流れによってRATや情報窃取型マルウェアのメモリ内実行が実現されているといいます。
Soroko氏は、防御側はファイル名ではなく内容・挙動・実行コンテキストに基づいて分析を行うべきであり、Windows Script Host、AutoIt、LuaJITの各インタプリタについても不要な環境では利用を制限するよう呼びかけています。
2つの手口のうち、より高度に進化していたのはLuaを使ったものでした。偽装されたスクリプトは自身を反転させ、記号置換ルールを適用してBase64からデコードした後、暗号文の先頭バイトから導出した回転キーを用いる独自のROT暗号を実行します。
2026年6月のビルドでは、セグメント化された暗号化方式が新たに追加されました。シェルコードはページサイズの断片に分割され、それぞれ非実行属性が付与された状態で、プロセッサが実行を試みるたびにVectored Exception Handlerが1ページずつ復号する仕組みです。
ローダーからペイロードへ
最終的なペイロードはDonutシェルコードで包まれた状態で送り込まれます。そのリフレクティブローダーがマルウェアをメモリ内に直接マッピングして実行するため、ディスク上には検査対象となる痕跡が一切残りません。
FortiGuardは被害者ごとに、Remcos、Agent Tesla、XWorm、Best Private LOGGERの4種類のうちいずれか1つのペイロードが投下されていることを確認しました。同社はBest Private LOGGERについて、Snake VIP Keyloggerビルダーで生成したペイロードと収集モジュールを比較した結果、Snake Keyloggerの亜種であると分類しています。
Keeper Securityの最高情報セキュリティ責任者(CISO)であるShane Barney氏は、これらのペイロードの組み合わせから攻撃者の狙いは明白だと述べています。有効な認証情報の窃取と、システムへの継続的な足がかりの確保です。
シグネチャベースの検知をすり抜けてしまった場合、被害の広がりは「窃取された認証情報を使ってどれだけの被害をもたらせるか」によって決まると同氏は指摘しました。
Barney氏は、認証情報はいずれ侵害されるという前提に立ち、各組織がIDに関する制御、最小権限の原則、そして機密性の高いシステムへの再認証の仕組みを重視するよう呼びかけています。
翻訳元: https://www.infosecurity-magazine.com/news/phishing-lua-loader-truetype-font/