2026年第1四半期における世界中の金融機関を標的とするPXAスティーラーキャンペーンの急激な増加。
このアクティビティはインフォスティーラーのランドスケープにおける顕著なシフトを示しており、PXAスティーラーは2025年のLumma、Rhadamanthys、RedLineなどの主要なマルウェアファミリーの撤去によって生じたギャップを埋めています。
研究者らは、脅威アクターが進化するエコシステムに急速に適応するため、PXAスティーラーのアクティビティがほぼ8~10%増加していると推定しています。
攻撃は主に、犠牲者をZIPアーカイブのダウンロードに導く悪意のあるリンクを含むフィッシングメールから始まります。
これらのアーカイブは、求人応募、税務文書、法務文書、またはAdobe Photoshopなどのソフトウェアインストーラーなどの説得力のあるおとりを使用して、しばしば偽装されます。
調査された1つのケースでは、犠牲者は疑わしいドメインから「Pumaproject.zip」という名前のファイルをダウンロードしました。
CyberProof MDRアナリストと脅威研究者は、世界中の金融機関を標的とするPXAスティーラーアクティビティの著しい急増を特定しました。
アーカイブ内に「Document.docx.exe」という名前の実行ファイルがあり、ユーザーは感染チェーンを起動するようにだまされました。この技術は、悪意のあるコードを実行しながら正当に見えるようにするために、二重ファイル拡張子に依存しています。
フィッシングZIPファイル
実行されると、マルウェアは複雑で多段階の攻撃を開始します。Pythonインタープリター、サポートライブラリ、およびスクリプトを含む隠されたディレクトリをアンパックします。
疑いを避けるためにおとりのWordドキュメントが表示される一方、悪意のあるプロセスがバックグラウンドで実行されます。
攻撃者は検出を回避するためにLiving-off-the-Land Binaries (LOLBins)を使用します。例えば、Windowsユーティリティcertutil.exeは、PDFファイルに偽装した暗号化されたアーカイブに隠されたペイロードをデコードするために使用されます。
「picture.png」に偽装した名前を変更したWinRAR実行ファイルが、アーカイブを抽出するために使用されます。
ペイロードは、パスワード保護されたアーカイブを使用して、「C:\Users\Public\WindowsSecure」などのディレクトリに展開されます。内部では、Pythonインタープリターは正当なシステムプロセスと混じり合うために「svchost.exe」に名前が変更されます。
名前を変更したインタープリターは、しばしば画像ファイルに偽装された難読化されたPythonスクリプトを実行します。このスクリプトは、コマンドアンドコントロール通信に使用される「Verymuchxbot」などのTelegramボット識別子を参照します。
アクティブになると、PXAスティーラーはWebブラウザーに自身を挿入して機密データを収集します。これには、保存された認証情報、ブラウジングセッション、および暗号化通貨ウォレット情報が含まれます。また、リアルタイムで標的Webサイトのユーザーアクティビティをインターセプトすることもできます。
盗まれたデータは、その後Telegramチャネルを通じて流出され、秘密のデータ転送のための正当なプラットフォームの使用が増加していることを浮き彫りにしています。マルウェアはまた、Windowsレジストリエントリを変更することによって永続性を確立し、システムの再起動後もアクティブなままであることを保証します。
これには、フォルダ名、ペイロード配信手法、およびボット識別子のバリエーションが含まれます。この適応性により、攻撃者はシグネチャベースの検出をバイパスし、運用効率を維持することができます。
「Dots」フォルダー内の正当なWinRar実行ファイルは、picture.pngに名前が変更され、アーカイブをアンパックするために使用されます。
全体的なキルチェーンは2025年に報告された以前のPXAスティーラーキャンペーンに似ていますが、CyberProof研究者は微妙な変化を観察しました。
おとりの日和見的性質は、攻撃者が特定の役割をターゲットにしておらず、金融機関全体に広いネットを張り、成功した侵害の可能性を高めていることを示唆しています。
対策
セキュリティチームは、特に誤解を招く名前のZIPまたはRARファイルを含む疑わしいメール添付ファイルを厳密に監視することをお勧めします。
一時的なディレクトリまたはメールディレクトリからのVBS、VBE、またはJavaScriptなどのスクリプトの実行は、高リスクとして扱う必要があります。
組織はまた、プロセスインジェクションや標準外の場所からのsvchost.exeなどの名前が変更されたバイナリの実行を含む、異常なプロセス動作を監視する必要があります。
「.xyz」または「.shop」などの一般的でないドメインへのアウトバウンド接続は、特にファイルダウンロードにリンクされている場合は、調査する必要があります。
さらに、Telegramなどのメッセージングプラットフォームへのトラフィックを監視することは、データ流出試行の検出に役立つ場合があります。
脅威インテリジェンスフィードを更新し、PXAスティーラーに関連するインジケーターを積極的に探すことで、これらのキャンペーンに対する防御を大幅に改善できます。
翻訳元: https://gbhackers.com/phishing-zip-files/
