概要
高度なインフォスティーラー「PURELOGS」を用いたキャンペーンが、検出を回避するために巧妙に偽装されたPNG画像ファイルを悪用していることが明らかになりました。
攻撃の初期段階
この攻撃は、製薬会社の請求書を装ったフィッシングメールから始まります。このメールには、JScript (.js) ファイルを含むZIPアーカイブが添付されています。Windows Script Host (WSH) ファイルは、通常のブラウザベースのJavaScriptとは異なり、Windowsスクリプトエンジンを介してOS権限で実行され、COMオブジェクトへの直接アクセスを可能にします。デコードされたスクリプトは、Windows Management Instrumentation (WMI) を使用して隠れたPowerShellプロセスを起動し、Base64エンコードされたペイロードをメモリ内で直接実行します。
巧妙な回避技術:ファイルレス実行とポリグロットPNG
セキュリティアナリストのLouis Schürmann氏が文書化したところによると、この攻撃チェーンは以下の4段階で構成されています。
- 正規のインフラの悪用: 攻撃者は、トラフィックが警戒されにくい正規のウェブサイト(archive.orgなど)からペイロードをダウンロードします。
- ファイルレス実行: 悪意のあるファイルがディスクに書き込まれないため、ファイルベースのアンチウイルス検出を回避します。
- ポリグロットファイル技術: ダウンロードされるPNGファイルは、複数の形式で有効な「ポリグロット」であり、画像ビューアでは通常通り表示されます。しかし、ファイルのIENDチャンク(PNG画像の正式な終わりを示す部分)の後にBase64エンコードされたペイロードが埋め込まれています。
PowerShellスクリプトは、正規のDownloadString()関数を使って、カスタムマーカー「BaseStart-」と「-BaseEnd」の間のペイロードを文字列として抽出し、ディスクに悪意のあるファイルを書き込みません。Base64デコード後、ペイロードは.NET Reflectionを使ってメモリに直接ロードされ、シグネチャベースの検出を効果的に回避します。
VMDetectLoaderとプロセスインジェクション
次の段階では、.NETアセンブリであるVMDetectLoaderが機能します。これは、仮想マシン検出を実行し、サンドボックスのような自動分析環境での実行を終了させます。このローダーは、正規のMicrosoft .NET FrameworkユーティリティであるCasPol.exeをターゲットにしてプロセスインジェクションを行います。VMDetectLoaderはRunPE(プロセスホローイング)技術を使用し、CasPol.exeを一時停止状態で起動し、元のコードをメモリから削除してデコードされたペイロードに置き換えます。これにより、オペレーティングシステムからはCasPol.exeが通常通り実行されているように見え、マルウェアは信頼されたMicrosoftプロセスとして偽装します。
PURELOGSスティーラーの機能
4層の難読化解除後、PURELOGSインフォスティーラーは「CasPol.exe」プロセス内で実行されます。PURELOGSは、「PureCoder」として知られる開発者によって月額約150ドルで販売されているMaaS(Malware-as-a-Service)型の商品です。このスティーラーは、以下の幅広いターゲットから情報を窃取します。
- Chromiumベースのブラウザ
- 暗号通貨ウォレット
- メールクライアント
- FTPアプリケーション
- メッセージングプラットフォーム
Windows Data Protection API (DPAPI) で保護されたブラウザの資格情報、セッションCookie、自動入力データ、クレジットカード情報を復号し、収集する能力があります。暗号通貨窃盗においては、MetaMask、Phantom、Trust Walletを含む30以上のデスクトップウォレットアプリケーションと70以上のブラウザベースのWeb3ウォレット拡張機能を標的とします。
侵害の痕跡 (IOCs)
以下は、このキャンペーンに関連する侵害の痕跡(Indicators of Compromise)の一部です。
- SHA256 (JS Stager): c3857a086bdac485a5e65fc88828cb0c4c831be7a1f63e2dab32a47f97b36289
- SHA256 (Loader): c208d8d0493c60f14172acb4549cdb394d2b92d30bcae4880e66df3c3a7100e4
- SHA256 (Secondary Loader): 3050a5206d0847d5cfa16e79944ce348db688294e311db4d7b6045ffbe337450
- SHA256 (Payload): bb723217f9c2932116c9e1313d558a7baddb921886eaa3beca95f7b3c5b848b0
- SHA256 (optimized_MSI.png Payload): 08a5d0d8ec398acc707bb26cb3d8ee2187f8c33a3cbdee641262cfc3aed1e91d
- URL (Payload): hxxps[://]archive[.]org/download/optimized_msi_20250904/optimized_MSI[.]png
- URL (Payload): hxxps[://]ia902909[.]us[.]archive[.]org/16/items/optimized_msi_20250904/optimized_MSI[.]png
- URL (Payload): hxxp[://]lineclearexpress[.]wuaze[.]com/arquivo_20250908023227[.]txt
- IP (Payload Delivery): 185.27.134.206
- IP:Port (Command & Control (C2)): 45.137.70.55:5888