著作権苦情の偽装に関連する新しいPureLogスティーラー認証情報盗難波

脅威アクターは、法的著作権侵害通知に偽装した巧妙な多段階攻撃キャンペーンを通じて、PureLogスティーラーを積極的に配布しています。

この情報盗難マルウェアは、ブラウザ認証情報、ブラウザ拡張機能、暗号通貨ウォレット、詳細なシステム情報を含む機密データを静かに収集するように設計されています。

キャンペーンはドイツ、カナダ、米国、オーストラリア全域の医療、政府、ホスピタリティ、教育セクター内の組織を選別的に標的にしています。

攻撃者は、ローカライズされたフィッシングメールとGoogle Ads悪意ある広告インフラストラクチャを利用し、ターゲット地域の言語に正確に合わせることで、ユーザーが実行に成功する確率を大幅に増加させています。

この配布方法に対抗するため、セキュリティプラットフォームはターゲット広告追跡パラメータを含むURLから発生する疑わしい実行ファイルダウンロードを監視する特殊な検出モデルを展開しました。

多段階感染チェーン

Trend Microによると、攻撃シーケンスは被害者が法的知的財産文書に偽装した悪意のあるファイルを手動で実行した時に開始されます。

即座に疑惑を引き起こさないために、マルウェアは無害なおとり用PDFファイルを即座に開き、実際の悪意のある操作はバックグラウンドで静かに実行されます。

マルウェアは、システムコマンドラインツール「curl」を利用して、カスタムの「curl/meow_meow」ユーザーエージェント文字列を使用し、詐欺的に請求書PDFとして偽装された暗号化ペイロードをダウンロードします。

復号化パスワードを初期実行ファイル内にローカルに保存する代わりに、マルウェアはリモートのコマンドアンドコントロールサーバーからこのキーを動的に取得します。

このリモートキー検索戦術は、セキュリティアナリストがアクティブなネットワークアクセスなしでペイロードを簡単に抽出するのを防ぎ、オペレーターがペイロードアクセスを厳密に制御することを可能にします。

パスワードが正常に取得されると、マルウェアは標準的なPNG画像ファイルとして偽装された名前変更されたWinRARアプリケーションを使用して暗号化ペイロードを抽出します。

高度な回避とローダー機能

初期抽出後、マルウェアはステージングファイルを安全に削除し、合法的なシステム動作を模倣するために公開Windowsディレクトリに操作をシフトします。

その後、ファイルレスPythonローダーを実行します。このローダーは標準的なWindowsサービスホストコンポーネントとして巧妙に名前変更され、PDF取扱説明書として詐欺的にラベル付けされた難読化されたPythonスクリプトを実行します。

このPythonローダーは、最新のセキュリティ対策をバイパスするために厳密に設計された強力な機能を持っています。

セキュリティスキャンを無効にするため、メモリ内のAntimalware Scan Interfaceを積極的にパッチします。

ローダーは現在のユーザーの下にレジストリ永続性を確立し、マルウェアがシステムログインのたびに自動的に実行されることを保証します。

さらに、インストールされたアンチウイルス製品を列挙してシステム指紋を徹底的に実行し、デスクトップの全画面画像をキャプチャし、収集されたインテリジェンスを流出させる前にメモリ内で完全にイメージファイルを構成します。

最終的なデプロイメント段階では、Pythonスクリプトが同時に2つの同一の.NETローダーを起動して、組み込みの操作上の冗長性を提供します。

これらの異なるローダーは、ConfuserExという高度な難読化ツールによって厳密に保護されており、アプリケーション制御フローを断片化して静的分析を故意に妨害します。

ローダーはTriple-DES暗号化とGZip圧縮アルゴリズムを使用して、最終ペイロードを正常に復号化します。

PureLogスティーラーは、システムメモリに直接リフレクティブにロードされます。

マネージドメモリヒープ内で完全に実行し、物理ハードドライブに操作ファイルを書き込まないことで、マルウェアは標準的なファイル作成イベントを監視する従来のエンドポイント検出ツールを正常に回避します。

侵害の指標(IOCs)