TokyoBlackHatNews

gbhackers.com 4分で読了

新たな JSCEAL インフォスティーラー・マルウェアが Windows システムを標的にし、ログイン認証情報を窃取

JSCEAL として知られる高度な情報窃取ツールは、ここ数か月で大きく進化し、洗練された解析回避技術と強化されたコマンド&コントロール(C2)インフラを展開して、Windows システム上の暗号資産アプリケーション利用者を標的にしています。

Cato CTRL のセキュリティ研究者は、2025年8月に開始されたアクティブなキャンペーンの中で、この強化版マルウェアを発見しており、脅威アクターの運用能力が大幅にシフトしたことを示しています。

JSCEAL は、当初 2025年7月に Check Point Research によって文書化されたインフォスティーラーで、暗号資産愛好家や金融アプリケーション利用者を積極的に標的にしてきました。

このマルウェアは、感染した Windows システムからログイン認証情報や機密性の高い認証データを収集することを専門としています。

2025年8月のキャンペーンを過去の亜種と区別しているのは、脅威アクターが完全に再設計されたインフラアーキテクチャを採用し、さらに強化された検知回避メカニズムと組み合わせている点です。

従来のキャンペーンから新しい亜種への移行は、脅威アクターによる意図的で計画的な運用設計を浮き彫りにしています。

2025年前半、JSCEAL は「download-app-windows[.]com」のような複数語をハイフンでつないだ C2 ドメイン名と、一貫して .com のトップレベルドメインに依存していました。

2025年8月20日以降、オペレーターは「emberstolight[.]com」のような単語のみのドメイン名と、.org、.link、.net など多様な TLD を利用する、まったく新しいインフラ戦略を展開しました。

これらのドメインが一定間隔で一括登録されていることから、スケーラビリティと回避性を重視した自動プロビジョニングワークフローが設計されていることがうかがえます。

高度な解析回避保護機構

更新された JSCEAL の実装には、従来の脅威検知手法を複雑化させる複数層のセキュリティバイパスおよび解析回避コントロールが組み込まれています。

インフラは厳格なアクセス制御フィルタリングを実装しており、PowerShell の User-Agent ヘッダーを欠くリクエストには HTTP 404 応答を返すことで、標準的なブラウザやサンドボックス環境による解析を事実上阻止します。

正当な PowerShell リクエストが到達した場合、サーバーは実際のペイロードを即座に配信するのではなく、偽の PDF ファイルで応答します。

Image
C2 偽 PDF エラー.

この多段階のペイロード取得アプローチにより、追加の検証レイヤーが形成されます。マルウェアスクリプトは、「/script」エンドポイントに実際の運用ペイロードを要求する前に、PDF の配信を検証します。

この意図的なステージングにより、感染チェーンのステルス性が高まり、自動化されたセキュリティ解析が妨げられます。

PowerShell スクリプトは、機能性と回避能力の両方を向上させるために大幅なリファクタリングが行われました。

新バージョンでは、ハードコードされたタスクスケジューラの実装を廃し、Windows タスクスケジューラ向けの COM オブジェクト操作に置き換えることで、柔軟性を高めるとともに静的インジケーターを削減しています。

さらにローダーは、RAW バイト列、JSON、MIME 形式など複数のペイロードコンテンツタイプをサポートするようになり、オペレーターがペイロードを動的に適応させることを可能にしています。

以前の亜種には複数のハードコードされたドメインが含まれていましたが、2025年8月のキャンペーンではこれが単一のハードコードドメイン参照に簡素化されており、従来の静的解析手法によるローダーのフィンガープリンティングを大幅に困難にしています。

検知と防御

高度な回避技術にもかかわらず、JSCEAL はハードコードされた C2 ドメインとの PowerShell 通信に依存しているため、検知可能なパターンを残しています。

Cato SASE クラウドプラットフォームによって保護されている組織は、自動的な脅威検知およびブロックメカニズムの恩恵を受けています。

Image
Cato IPS によってブロックされた PowerShell トラフィック.

Cato のセキュリティインフラは、ドメインパターン、段階的な PDF 検証ルーチン、および PowerShell ベースの C2 通信を識別し、マルウェアが永続化を確立する前にペイロードの実行を阻止します。

JSCEAL の 2025年8月時点での進化は、現代のマルウェア脅威が劇的なエクスプロイトではなく、回避技術の継続的な洗練によって成功していることを示しています。

洗練されたインフラ、多層的なアクセス制御、および強化されたローダー設計は、成熟したオペレーショナルセキュリティ実践を反映しています。

組織は、これら進化し続ける情報窃取型マルウェアに効果的に対抗するため、振る舞い検知、ネットワークの可視性、クラウドベースの脅威防御を重視した防御戦略を実装する必要があります。

翻訳元: https://gbhackers.com/jsceal-infostealer-malware/

ソース: gbhackers.com
#Cato Networks セキュリティ #JSCEAL #PowerShellベースC2 #Windowsマルウェア #アンチ解析技術 #インフォスティーラー #コマンドアンドコントロール(C2) #マルウェア #暗号資産アプリ攻撃 #認証情報窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚