CyberProof MDRアナリストと脅威研究者は、2026年第1四半期中に世界的な金融機関を標的とするPXAスティーラー活動の大幅な増加を確認しました。
これらのキャンペーンは、主に悪意のあるURLを含むフィッシングメールを活用しており、侵害されたZIP添付ファイルのダウンロードをトリガーします。
Lumma、Rhadamanthys、RedLineなどの主要な情報盗聴ツールが2025年に法執行機関によって摘発された後、PXAスティーラーの活動はその空白を埋め、推定8~10パーセント増加しています。
攻撃は、ユーザーが疑わしいドメインから「Pumaproject.zip」という名前の悪意のあるアーカイブファイルをダウンロードするようにだまされたときに始まります。
被害者が含まれた実行可能ファイルを実行すると、攻撃の次の段階がPythonインタプリタと、さまざまなPythonライブラリおよびスクリプトをアンパックして開始されます。
攻撃は、Microsoft Wordドキュメントを利用して正当なファイルをサイドロードしながら、同時に一連のliving-off-the-land バイナリ(LOLBins)とファイル操作を実行します。
このフェーズ中に、コアPXAスティーラーコンポーネントファイルが抽出され、被害者のマシンに「Dots」という名前の隠しディレクトリが作成されます。
この隠しフォルダ「Dots」内で、攻撃者は組み込みのWindows「Certutil」ツールを使用して、ファイルを新しい暗号化されたZIPアーカイブにデコードし、PDFファイル形式の「Shodan.pdf」と偽って名付けています。
その後、「picture.png」という名前の画像ファイルに偽装した正当なWinRAR実行可能ファイルが、「shodan2201」という特定のパスワードを使用してこのアーカイブを解凍するために使用されます。
抽出されたコンテンツは、新しいパブリックディレクトリに保存されます。この2番目のアーカイブには、ポータブルなWindows Pythonインタプリタと、高度に難読化されたPythonスクリプトが含まれています。
検出をさらに回避するために、Pythonインタプリタはスクリプトを起動する前に「svchost.exe」に名前変更されます。スクリプトは、特定のボットID「Verymuchxbot」または「Ken1」に接続します。被害者のウェブブラウザに最終的なPXAスティーラーペイロードを注入します。
マルウェアは、特定のウェブサイトにアクセスされたときに対象データを傍受し、盗まれたデータをTelegramを通じて流出させ、レジストリ実行キー値を追加することで永続性を実現します。
セキュリティチームは、この攻撃を検出および軽減するために、特定の指標と動作を警戒する必要があります。防御者は、疑わしいURLとアーカイブ添付ファイル、特に「invoice」または「payment」を含むファイル名を持つメールに注意する必要があります。
一時フォルダまたはメールコンテンツディレクトリから起動されたスクリプトファイルの実行を監視することは重要です。
翻訳元: https://cyberpress.org/phishing-zips-drop-pxa/