脅威の概要
洗練された情報窃取ツール「JSCEAL」がここ数ヶ月で大幅に進化し、Windowsシステムの仮想通貨アプリケーションユーザーを標的としています。このマルウェアは高度な解析回避技術と強化されたC2(コマンド&コントロール)インフラを展開。Cato CTRLのセキュリティ研究者は、2025年8月に始まった活動中のキャンペーン中に、この強化されたマルウェアの亜種を発見しました。
キャンペーンの進化とC2インフラ
JSCEALは、2025年7月にCheck Point Researchによって初めて文書化されたインフォスティーラーで、仮想通貨愛好家や金融アプリケーションユーザーを積極的に標的にしてきました。2025年8月のキャンペーンを以前のバージョンと区別するのは、脅威アクターが完全に再設計されたインフラアーキテクチャと強化された検出回避メカニズムを採用したことです。
これまでのJSCEALは「download-app-windows[.]com」のようなハイフンを含むマルチワードのC2ドメイン名に依存していましたが、2025年8月20日からは全く新しいインフラ戦略を展開。これには「emberstolight[.]com」のようなシングルワードのドメイン名と、.org、.link、.netなど多様なTLD(トップレベルドメイン)の使用が含まれます。これらのドメインが定期的に大量登録されていることは、スケーラビリティと回避のために設計された自動化されたプロビジョニングワークフローを示唆しています。
高度な解析回避策
更新されたJSCEALは、複数のレイヤーのセキュリティバイパスおよび解析回避コントロールを組み込んでおり、従来の脅威検出方法を複雑にしています。その主な特徴は以下の通りです。
- インフラは厳格なアクセスコントロールフィルタリングを実装しており、PowerShell User-Agentヘッダーを持たないリクエストにはHTTP 404応答を返します。これにより、標準ブラウザやサンドボックス環境からの解析を効果的に防ぎます。
- 正当なPowerShellリクエストが到着しても、サーバーは実際のペイロードをすぐに配信せず、偽のPDFファイルを応答します。この多段階ペイロード取得アプローチは、追加の検証レイヤーを作成します。
- マルウェアスクリプトは、PDFの配信を検証してから「/script」エンドポイント(実際のオペレーションペイロードが存在する場所)にリクエストを続行します。この意図的なステージングは、感染チェーンのステルス性を高め、自動化されたセキュリティ分析を妨げます。
- PowerShellスクリプトは、機能性と回避能力の両方を向上させるために大幅にリファクタリングされました。新しいバージョンでは、ハードコードされたスケジュールタスクの実装がWindowsタスクスケジューラ用のCOMオブジェクトとの相互作用に置き換えられ、柔軟性が向上し、静的インジケータが削減されました。
- さらに、ローダーはRAWバイト、JSON、MIME形式を含む複数のペイロードコンテンツタイプをサポートし、オペレーターがペイロードを動的に適応させられるようになりました。
- 以前のバージョンには複数のハードコードされたドメインが含まれていましたが、2025年8月のキャンペーンでは参照するハードコードされたドメインを1つに簡素化し、従来の静的分析技術によるフィンガープリント採取を大幅に困難にしました。
検出と保護
高度な回避技術にもかかわらず、JSCEALがPowerShell通信とハードコードされたC2ドメインに依存しているため、検出可能なパターンが残されています。Cato SASE Cloud Platformで保護されている組織は、自動脅威検出およびブロックメカニズムの恩恵を受けています。
Catoのセキュリティインフラは、ドメインパターン、ステージングされたPDF検証ルーチン、PowerShellベースのC2通信を識別し、マルウェアが永続性を確立する前にペイロードの実行を防ぎます。JSCEALの2025年8月の進化は、現代のマルウェアの脅威が劇的なエクスプロイトではなく、回避技術の漸進的な改良を通じて成功することを示しています。組織は、これらの進化する情報窃取ツールに対抗するために、振る舞い検出、ネットワーク可視性、およびクラウドベースの脅威防止を強調する防御戦略を実装する必要があります。