概要
A new malware loader dubbed Foxveil is using trusted platforms such as Cloudflare Pages, Netlify, and Discord to stage and deliver malicious payloads while evading traditional detection methods. Active since at least August 2025, the loader uses these platforms to retrieve next-stage payloads from content hosted on them.
Foxveilの仕組み
Foxveil v1は、Cloudflare PagesとNetlifyを使用してステージングソースとして機能し、新しく生成されたプロセスにEarly Bird Asynchronous Procedure Call (APC) インジェクションを実装します。これにより、セキュリティツールがプロセスの実行やスレッド活動を監視する時間枠が狭まります。
一方、Foxveil v2は、DiscordアタッチメントからDonut生成のシェルコードを取得し、自身でインジェクションを行い、payloadを同じプロセス内で実行します。また、v2は次ステージのpayloadをC:\\Windows\
SysWOW64に書き込み、Microsoft Defender設定を操作しようと試みます。
Foxveilの特徴
- ステージングローダーとして機能: Foxveilは、後続のフレームワーク(例えばCobalt Strike)を使用して横向き移動や追加payload配信を可能にする。
- ランタイム文字列変換:特定のキーワードをランダムな値に置き換え、逆エンジニアリングを遅らせる。
対策と展望
Foxveilは、従来の「悪意のあるインフラストラクチャ」からの監視から、「異常なプロセスチェーンやステージングダウンロード、メモリ内のシェルコードインジェクション、敏感ディレクトリへの不審な書き込み」などの行動と文脈を監視する方向にシフトすることを示しています。
また、Cato SASE Platformはネットワーク認識制御を使用してFoxveilの活動を早期段階で検出しブロックします。