概要
2026年の第1四半期に、世界中の金融機関を対象としたPXAスティーラーのキャンペーンが急増しています。この活動は、LummaやRhadamanthysなどの主要なマルウェアファミリーが2025年に摘発されたことで空いた隙間を埋める形で、情報窃取型マルウェアの状況に大きな変化をもたらしました。
攻撃手法
PXAスティーラーの攻撃は主にフィッシングメールから始まります。これらのメールには悪意のあるリンクが含まれており、ユーザーがZIPアーカイブをダウンロードするよう誘導します。
攻撃の詳細
1. フィッシングZIPファイル
- これらのZIPアーカイブは、ジョブ申請書や税務文書、法的文書、ソフトウェアインストーラー(Adobe Photoshopなど)といった信憑性の高い装いをしています。
- ユーザーが「Pumaproject.zip」といったファイル名でダウンロードしたZIPアーカイブを開くと、「Document.docx.exe」などの実行可能ファイルが含まれています。
2. マルウェアの展開
- ユーザーが「Document.docx.exe」という偽装されたファイルを実行すると、マルウェアは複雑な多段階攻撃を開始します。
- マルウェアは隠れたディレクトリにPythonインタープリターやサポートライブラリ、スクリプトなどを展開し、偽装されたWordドキュメントを表示してユーザーの注意を引きつけます。
3. データ窃取と通信
- マルウェアはTelegramチャネルを通じて盗まれたデータを外部に送信します。これは合法的なプラットフォームを利用して秘密裏のデータ転送を行う傾向が見られます。
- 攻撃者はWindowsレジストリエントリを変更することで、システム再起動後もマルウェアがアクティブな状態を維持できます。
防御策
1. 構造化されたメールの監視
- 組織はZIPやRARファイルなどの不審な添付ファイルに注意を払うべきです。
- 一時ディレクトリやメールボックスからのスクリプト(VBS、VBE、JavaScriptなど)の実行は高リスクとみなすべきです。
2. プロセス監視
- 異常なプロセス挙動や非標準的な場所から実行される「svchost.exe」などのリネームされたバイナリの実行を注意深く観察する必要があります。
3. ネットワーク監視
- 不審なドメイン(例:「.xyz」や「.shop」)への接続は調査対象となります。
- メッセージングプラットフォーム(Telegramなど)へのトラフィックをモニタリングしてデータ漏洩の試みを検出します。