PXA Stealerとして知られる新たに特定されたPythonベースのマルウェアが、60カ国以上の被害者から機微なデータを窃取した広範なサイバー犯罪キャンペーンの一部として観測された。
セキュリティ研究者が「Ghost in the Zip(ZIP内のゴースト)」と呼ぶこの作戦は、2024年後半以降、SentinelLabsとBeazley Securityによって追跡されており、情報窃取型マルウェア(インフォスティーラー)の開発・展開手法が著しく進化していることを示している。
Telegramボットと署名付きアプリがステルス性を実現
このマルウェアは、PNGやPDF文書に偽装したアーカイブファイルを通じて配布され、ユーザーや分析者の注意をそらすためのおとりファイルが同梱されていることが多い。
これらの悪意あるアーカイブは、Haihaisoft PDF Readerや旧バージョンのMicrosoft Wordなど、正規で署名されたソフトウェアを用いてPXA Stealerをサイドロードする。
展開後、スティーラーはTelegramベースのコマンド&コントロール(C2)システムを使用してデータを流出させ、Cloudflare Workersを介して情報を中継する。
このキャンペーンは、保存されたパスワード、ブラウザCookie、セッショントークン、オートフィルデータ、暗号資産ウォレット、システムメタデータなど、複数のデータ種別を標的としている。盗まれたデータは、攻撃者が管理するチャネルへ送信される前にZIPアーカイブに圧縮され、保管および再販に回される。
Ghost in the Zipの主な調査結果
本日早くにSentinelLabsが公開したアドバイザリによると、PXA Stealerキャンペーンは、ステルス性とスケーラビリティを重視する、モジュール型でクラウド統合されたマルウェア運用へと向かう増加傾向を反映している。
サイドロード手法を信頼されたアプリケーションと組み合わせ、広く利用されるクラウドプラットフォームを悪用することで、攻撃者はマルウェアの到達範囲を拡大しつつ、検知をより困難にしている。
SentinelLabsによるこの作戦の分析では、いくつかの注目すべき技術的・運用上の特徴が明らかになっている:
-
4000件を超えるユニークな被害者IPが特定されている
-
米国、大韓民国、オランダを含む少なくとも62カ国が影響を受けている
-
悪意あるコードは、署名済みで信頼されたアプリケーションを介して配布されることが多い
-
インフラ悪用にはTelegram、Cloudflare Workers、Dropboxが含まれる
-
Pythonペイロードはステルスのため「svchost.exe」 に偽装する
現代のマルウェアキャンペーンにおけるサイドローディングとインフラ悪用について詳しく読む:新たなフィッシング攻撃がビッシングとDLLサイドローディング手法を組み合わせる
この脅威はTelegram駆動のマーケットプレイスにも統合されており、盗難データへのアクセスが犯罪者のサブスクリプションモデルの一部として再販されている。 これらのプラットフォームはデータの取り扱いと収益化の多くを自動化し、脅威アクターの技術的負担を軽減しながら、到達範囲と速度を拡大している。
実際に動く最新のマルウェア・アズ・ア・サービス
特に2025年7月に観測された一連の攻撃は、新たなレベルの高度化を示しているとSentinelLabsは述べた。
遅延実行、署名付きソフトウェア、改名されたバイナリはいずれも、標準的なツールでは検知が難しいマルウェアのプロファイル形成に寄与している。データ窃取がより産業化する中で、このキャンペーンは、配布、データ処理、収益化を含むフルサービスのエコシステムによってマルウェアがますます支えられていることを浮き彫りにしている。
「これら最近のキャンペーンにおける進化したトレードクラフトは、敵対者が展開チェーンを綿密に洗練してきたことを示しており、検知と分析がますます困難になっている」 とSentinelLabsは述べた。
「PXA Stealerと、その背後にいる脅威アクターは、より大きなインフォスティーラー・エコシステムを引き続き肥大化させている。」
防御側は今や、コードを止めることだけでなく、これらの作戦を支えるインフラと経済モデルを攪乱することにも注力しなければならない。
翻訳元: https://www.infosecurity-magazine.com/news/ghost-zip-behind-pxa-stealer/
