脅威アクターは、PureLogスティーラーを配布するための洗練されたマルチステージマルウェアキャンペーンを展開しています。
ローカライズされた著作権侵害通知に偽装したこの認証情報盗難波は、医療や政府を含む重要インフラを大きなターゲットにしています。
ファイルレス実行と暗号化されたペイロードを活用することで、攻撃者は従来のセキュリティ防御を回避しながら、ブラウザの認証情報と暗号通貨ウォレットなどの機密データを正常に収集しています。
感染チェーンは通常、フィッシングメールまたはGoogle広告の悪質な広告によって駆動される実行可能ファイルのダウンロードを通じて始まります。
攻撃は、被害者がローカライズされた法律文書に偽装した悪意のあるファイルを実行したときに開始します。
疑いを最小限に抑えるために、マルウェアは直ちに無害なおとりPDFを表示します。バックグラウンドで、攻撃者が制御するインフラから、欺瞞的に.pdfファイル拡張子を使用した暗号化されたアーカイブを秘密裏にダウンロードします。
初期ドロッパー内に復号化キーを埋め込む標準的なマルウェアとは異なり、このキャンペーンはリモートサーバーからパスワードを動的に取得します。
このインフラストラクチャ制御の復号化は自動セキュリティ分析を防止し、攻撃者が被害者ごとにキーをローテーションすることを可能にし、アクティブで標的化された接続のみが次のステージをロック解除できることを保証します。
リモートキーが正常に取得されると、マルウェアは名前が変更されたWinRARユーティリティを活用し、無害なPNG画像に巧妙に偽装して、アーカイブを抽出します。
このPythonローダーは回避フェーズのコアエンジンとして機能します。条件付きジャンプを変更することでメモリ内のWindows Antimalware Scan Interface (AMSI)にパッチを適用し、インストールされたアンチウイルスソフトウェアを効果的に盲目化します。
また、被害者のデスクトップの全画面画像を静かにキャプチャします。さらに、侵害されたマシンをフィンガープリント化して、オペレーティングシステムのバージョンとインストールされたセキュリティ製品を列挙してから、このインテリジェンスをコマンド&コントロールサーバーにHTTPS経由で流出させます。
ローカル環境を準備した後、Pythonスクリプトは2つの異なるXOR暗号化.NETローダーをアンパックします。
冗長性対策として同時に動作するこれらのデュアルローダーは、TripleDES暗号化を使用してGZip圧縮アセンブリを復号化します。
最終的なペイロードであるPureLog Stealerは、現在のアプリケーションドメインに直接リフレクティブロードされます。
スティーラーはマネージドヒープ内で完全に実行され、最終的な悪意のあるペイロードをディスクに書き込まないため、ファイル作成イベントを監視する従来の エンドポイント検出メカニズムを簡単に回避します。
テレメトリデータは、この操作が広範な大量配布キャンペーンではなく、非常に標的化されていることを示しています。
ローカライズされた配信メカニズムは、ドイツ、カナダ、米国、オーストラリア全域の医療、政府、ホスピタリティ、教育セクター内の組織を具体的にターゲットにしています。
翻訳元: https://cyberpress.org/copyright-themed-emails-to-drop-purelog-stealer/