デジタル脅威の動向を監視する中で、Seqrite Labsの研究者は、Operation MoneyMount-ISOと名付けられた新たな標的型キャンペーンを発見しました。この攻撃は、支払い確認を装ったISOイメージを介してPhantom Stealerマルウェアを展開する多段階の配信チェーンにより、機密情報を流出させるよう設計されています。
このキャンペーンは、完了した銀行振込の詳細が含まれていると称する大量メール配信から始まります。メッセージはフォーマルでビジネスライクな文面で書かれており、「Bank Transfer Confirmation(銀行振込確認)」とラベル付けされたZIPアーカイブが添付されています。アーカイブの中にはISOファイルがあり、仮想ディスクとしてマウントすると実行ファイルが表示されます。このファイルを起動すると感染が引き起こされます。
主な標的は、財務・経理・支払いチームの従業員に加え、法務、人事、調達部門のスタッフです。メールは個別化されておらず、このキャンペーンが広範で無差別な性質を持つことを示しています。フォーマルな言葉遣いにより、特に支払い関連の書類を扱い慣れている受信者にとって、メッセージに正当性があるかのような印象を与えます。
技術分析により、ISOファイルには、暗号化された悪性コードを埋め込んだ追加ライブラリのダウンロードを開始する実行コンポーネントが含まれていることが明らかになりました。復号後、このコードは中核ペイロードであるPhantom Stealerを展開します。このマルウェアには強力な解析回避機能が組み込まれており、仮想マシン、デバッガ、解析ツールの有無を環境チェックし、調査の兆候が検知されると実行を終了して自己削除します。
Phantom Stealerは非常に幅広いデータを収集します。ブラウザベースの暗号資産ウォレット拡張機能やデスクトップウォレットアプリケーションから情報を抽出し、保存されたパスワード、Cookie、決済カード情報を窃取し、Discordトークンを取得し、クリップボードを監視し、キーストロークを記録します。収集されたデータは整理・保存され、アーカイブに圧縮されるとともに、IPアドレス、ユーザー名、アンチウイルス保護の状態などのシステムメタデータが付加されます。
攻撃者への流出は、Telegramボット、DiscordのWebhook、FTPサーバーという3つの異なるチャネルを通じて行われます。通信は非同期方式とハードコードされた接続パラメータに依存しており、盗まれた情報を外部エンドポイントへ確実に送達できるようにしています。
Operation MoneyMount-ISOは、現代のマルウェアが高度化していること、そして従来の防御を回避するための意図的な取り組みを浮き彫りにしています。初期感染ベクターとしてISOファイルを利用することで、攻撃者は多くのメールセキュリティフィルタを回避できます。このキャンペーンが金融および支払いインフラに焦点を当てていることを踏まえ、組織はこの種の添付ファイルをブロックする制御を実装し、メモリ上のプロセス挙動を監視し、メールセキュリティを強化してリスクを軽減する必要があります。
