サイバーセキュリティ研究者によって、ステラー、暗号化ツール、遠隔アクセスツール(RAT)をサブスクリプション方式でバンドルした商用サイバー犯罪ツールキットの一部として販売されている.NETベースのインフォスティーラーについて、さらに詳しい情報が報告されました。
Phantom Stealerとして知られるこのマルウェアは、感染したシステムからブラウザの認証情報、クッキー、保存されたパスワード、自動入力データ、クレジットカード情報を収集します。
さらに、メッセージングおよびメールプラットフォーム、Wi-Fi認証情報、その他の機密情報からセッションデータを抽出し、メッセージングプラットフォーム、SMTP、FTPを含むさまざまなチャネルを通じて盗まれたデータを送信します。
キャンペーンが欧州産業を標的に
2025年11月から2026年1月にかけて、Group-IBは欧州全域のロジスティクス、製造、技術セクターの組織に対するPhantom Stealerの配信を目的とした継続的なフィッシングキャンペーンを観察しました。
この活動は5つの波で実施され、フィッシングメールはエンドユーザーに到達する前にブロックされました。攻撃者は同じ日に複数の無関係の企業を標的にしており、このパターンはstealer-as-a-serviceキャンペーンに一般的に見られるものです。
フィッシングメールは正当な機器取引企業になりすまし、ビジネス通信に似せた調達関連の件名を使用していました。メッセージは短く、多くの場合2〜3文のみで、正当に見えるようにプロフェッショナルな署名ブロックが含まれていました。
フィッシングキャンペーンについてもっと読む:サイバー犯罪者が税務シーズンで新たなフィッシング戦術を展開
メール戦術と技術的指標
各フィッシングメールには、難読化されたJavaScriptドロッパーまたは悪意のある実行ファイルを含むアーカイブ添付ファイルが含まれていました。件名と添付ファイルが変更されているにもかかわらず、いくつかの一貫した指標がキャンペーンを露出させました。
-
SPF認証の失敗
-
DKIM署名の欠落
-
メールテンプレートの再利用と無差別な挨拶
-
メッセージ全体での一貫した綴り間違い
-
ビジネス身元の詐称と回転するインフラ
これらの指標は、自動化されたツールとテンプレート再利用を使用した組織的なステラー配信操作を示していました。
検出と分析
Group-IBによると、キャンペーンは送信者認証チェック、コンテンツ分析、および制御された環境でのマルウェア爆破を組み合わせた多層分析を通じて検出されました。
爆破プロセスは、初期スクリプトから最終的なステラーペイロードまで、完全な実行チェーンを追跡し、認証情報の収集、アンチ分析技術、およびデータ流出動作を確認しました。
「Phantom Stealerはより大きなパターンの一例です」と研究者らは説明しています。「商用stealer-as-a-serviceオペレーションを通じた認証情報盗難の拡大は、ID駆動型の侵害という結果をもたらし、ランサムウェアやビジネスメール詐欺につながることが多いものです。」
実際のところ、盗まれた認証情報はランサムウェア攻撃、データ侵害、ビジネスメール侵害スキームに頻繁に悪用されており、インフォスティーラーを組織にとって継続的な脅威にしています。
翻訳元: https://www.infosecurity-magazine.com/news/phantom-project-infostealer-nov-25/
