はじめに:Phantom Stealerの出現
「Phantom Stealer」と名付けられた高度な情報窃取マルウェアの亜種が、ユーザーの機密データを狙った標的型攻撃を展開しています。この洗練されたマルウェアは、パスワード、ブラウザのクッキー、クレジットカード情報、さらには仮想通貨ウォレットの認証情報など、多岐にわたる個人情報を窃取する能力を持つことが確認されました。
セキュリティ研究者らは、バージョン3.5として識別されたこのマルウェアが、複雑な多段階感染チェーンと高度な回避技術を駆使し、セキュリティ制御を迂回して被害者の個人識別情報を盗み出す手口を明らかにしています。
感染経路と初期段階
Phantom Stealerの攻撃は、偽装されたファイルから始まります。最初に確認されたのは、2025年10月29日にVirusTotal上で発見された「Adobe 11.7.7 installer」と偽るファイルでした。このファイルをユーザーが実行すると、難読化されたXMLファイル内に埋め込まれたJavaScriptが作動し、巧妙な感染シーケンスが開始されます。
感染プロセスでは、マルウェアがリモートのコマンド&コントロールサーバーに接続し、PowerShellスクリプト(「floor.ps1」)をダウンロードします。このスクリプトは、ユーザーに警告を発することなく、隠れた属性でPowerShellの実行ポリシーを回避して実行されます。
Phantom Stealerの動作メカニズム
ダウンロードされたPowerShellスクリプトには、RC4で暗号化されたペイロードが含まれており、復号化されると悪意のある.NETアセンブリ「BLACKHAWK.dll」が姿を現します。このインジェクターDLLは、プロセスインジェクション技術を悪用し、正規のWindows実行ファイル「Aspnet_compiler.exe」のメモリ空間に直接、本物の情報窃取ペイロードをロードします。
.NET Common Language RuntimeのAppDomain分離を利用することで、Phantomはファイルベースの指標に依存する従来のマルウェア検出システムを回避します。
広範なデータ窃取能力
Phantom Stealerの窃取コンポーネントは、非常に広範なデータ収集能力を示しています。特に、Chromiumベースのブラウザ(Chrome、Edgeを含む)から認証情報、クッキー、オートフィルデータを体系的に収集します。マルウェアはブラウザデータの暗号化に使用されるAESマスターキーを抽出することで、保存されたパスワードや支払い情報を復号化します。
さらに、仮想通貨ウォレットの認証情報、デスクトップウォレットデータ、Discordアカウント情報も標的となります。ブラウザからの窃取に加えて、Phantomは包括的な監視機能も備えています。キーロギング機能により、ユーザーのキーストロークを記録し、スペース、タブ、リターンキーを追跡することで単語をインテリジェントに区別します。また、システムメモリに保存されたWi-Fi認証情報、タイムスタンプとコンピューター識別子を含むOutlookの電子メールデータ、ハードウェア詳細やネットワーク構成を含むシステム情報も窃取します。
高度な回避技術
Phantomは、セキュリティ分析や監視を回避するために、複数の高度な回避技術を採用しています。マルウェアはアンチ分析チェックを実行し、ユーザー名を既知の112のサンドボックスおよびアナリストのユーザー名(標準および小文字の両方)のハードコードされたリストと照合して実行環境を検証します。分析環境の兆候を検出すると、マルウェアは自己破壊メカニズムをトリガーし、プロセスを終了させてシステムから痕跡を削除します。
最も重要なのは、Phantomが「Heaven’s Gate」と呼ばれる洗練されたx86-to-x64モード切り替え技術を利用している点です。これにより、マルウェアは32ビットプロセスから直接64ビットコードとネイティブシステムコールを実行できます。この技術は、セキュリティソフトウェアが使用するx86固有のユーザーモードフックをバイパスし、Phantomが32ビット監視ツールの可視性の下で動作することを可能にします。
データ流出チャネルと対策
窃取されたデータは、SMTP、FTP、Telegram、Discordを含む複数のチャネルを通じて外部に流出させられます。マルウェア内にBase64エンコード形式で保存されているハードコードされたSMTP認証情報は、流出したデータセットの直接電子メール送信を可能にします。
自動化されたデータ収集、マルチチャネルでのデータ流出、そして高度な回避技術の組み合わせにより、Phantom Stealerは個人ユーザーおよび企業にとって極めて強力な脅威となっています。
セキュリティ研究者は、信頼できるエンドポイント保護ソリューションの導入、オペレーティングシステムの最新パッチ適用、およびサイバーハイジーンの実践(ダウンロードしたソフトウェアの信頼性の検証を含む)を推奨しています。ユーザーは、不慣れなソースからのファイルをダウンロードする際には警戒を怠らず、本番システムで実行する前に不審な実行ファイルをサンドボックス環境で検証することを検討すべきです。