TokyoBlackHatNews

gbhackers.com 4分で読了

機密データを窃取するためにユーザーを標的とするPhantom Stealer

高度なマルウェアが、多段階の感染チェーンと先進的な回避技術を用いて機密情報を流出させます。

高度な情報窃取型マルウェアの亜種であるPhantomは、感染したシステムからパスワード、ブラウザCookie、クレジットカード情報、暗号資産ウォレットの認証情報などの機密データを収集する標的型攻撃を実施しています。

セキュリティ研究者は、セキュリティ制御を回避して被害者の個人を特定できる情報(PII)を盗むために、複雑な多段階感染チェーンと高度な回避技術を用いるマルウェアのバージョン3.5を特定しました。

このマルウェアの攻撃チェーンは、「Adobe 11.7.7 installer」を装った欺瞞的なファイルから始まり、2025年10月29日にVirusTotalで初めて観測されました。

実行されると、埋め込みJavaScriptを含む難読化されたXMLファイルが高度な感染シーケンスを開始します。

Image
base64文字列.

マルウェアはリモートのコマンドサーバーに接続してPowerShellスクリプト(「floor.ps1」)をダウンロードし、隠し属性付きで実行し、PowerShellの実行ポリシーをバイパスすることで、ユーザーへの警告やセキュリティプロンプトを回避します。

Phantom Stealerの動作

ダウンロードされたPowerShellスクリプトにはRC4で暗号化されたペイロードが含まれており、復号すると「BLACKHAWK.dll」と呼ばれる悪意のある.NETアセンブリが明らかになります。

Image
.NETファイル.

このインジェクタDLLはプロセスインジェクション技術を用いて、正規のWindows実行ファイル「Aspnet_compiler.exe」のメモリ空間に実際のスティーラーペイロードを直接ロードします。

.NET Common Language RuntimeのAppDomain分離を活用することで、Phantomはファイルベースの指標に依存する従来のエンドポイント検知メカニズムを回避します。

スティーラーコンポーネントは広範なデータ流出能力を示します。ChromeやEdgeを含むChromium系ブラウザから、ブラウザの認証情報、Cookie、自動入力データを体系的に収集します。

マルウェアはブラウザデータ暗号化に使用されるAESマスターキーを抽出し、保存されたパスワードや支払い情報の復号を可能にします。さらにPhantomは、暗号資産ウォレットの認証情報、デスクトップウォレットのデータ、Discordアカウント情報も取得します。

Image
ブラウザのマスターキー.

ブラウザベースの窃取にとどまらず、Phantomは包括的な監視機能を実装しています。このマルウェアにはキーロギング機能があり、スペース、タブ、リターンキーを追跡して単語を賢く区別しながら、ユーザーのキーストロークを記録します。

システムメモリに保存されたWi-Fi認証情報を収集し、タイムスタンプとコンピュータ識別子付きでOutlookメールデータを盗み、ハードウェア詳細やネットワーク構成を含むシステム情報を取得します。

オンラインセキュリティへの影響

セキュリティ分析や監視を回避するために、Phantomは複数の高度な回避技術を用います。

このマルウェアは、ユーザー名をハードコードされた112件の既知のサンドボックスおよびアナリストのユーザー名リスト(標準表記と小文字表記の両方を含む)と照合することで、実行環境を検証するアンチ解析チェックを実装しています。

解析環境の指標を検出すると、マルウェアは自己破壊メカニズムを起動し、プロセスを終了してシステムから痕跡を削除します。

最も重大なのは、Phantomが「Heaven’s Gate」を利用している点です。これは高度なx86からx64へのモード切り替え技術で、32ビットプロセスから直接64ビットコードとネイティブsyscallを実行できるようにします。

Image
Heaven’s Gateの初期化.

この技術は、セキュリティソフトが用いるx86特有のユーザーモードフックを回避し、Phantomが32ビット監視ツールの可視範囲の下で動作できるようにします。

マルウェアは、SMTP、FTP、Telegram、Discordなど複数のチャネルを通じて盗んだデータを流出させます。マルウェア内にbase64エンコード形式で保存されたハードコード済みSMTP認証情報により、流出データセットをメールで直接送信できます。

自動化されたデータ収集、多チャネルでの流出、高度な回避の組み合わせにより、Phantomは個人および企業ユーザーにとって手強い脅威となっています。

セキュリティ研究者は、信頼できるエンドポイント保護ソリューションの導入、OSパッチの最新化、ダウンロードしたソフトウェアの真正性確認を含むサイバー衛生の実践を推奨しています。

ユーザーは不慣れなソースからファイルをダウンロードする際に警戒を怠らず、本番システムで実行する前に疑わしい実行ファイルをサンドボックス環境で利用することを検討すべきです。

翻訳元: https://gbhackers.com/phantom-stealer/

ソース: gbhackers.com
#.NETアセンブリ #Heaven’s Gate #Phantom Stealer #PowerShell悪用 #データ流出(SMTP/FTP/Telegram/Discord) #ブラウザ認証情報窃取 #プロセスインジェクション #多段階感染 #情報窃取マルウェア #暗号資産ウォレット窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚