SentinelOneは8月4日(米国時間)、「Ghost in the Zip|New PXA Stealer and Its Telegram-Powered Ecosystem|SentinelOne」において、情報窃取マルウェア「PXA Stealer」を配布するサイバー攻撃を発見したと報じた。
マルウェアは少なくとも62カ国に影響し、20万件以上の認証情報、数百件のクレジットカード情報、400万件以上のWebブラウザCookieを窃取したという。
-
Ghost in the Zip|New PXA Stealer and Its Telegram-Powered Ecosystem|SentinelOne
侵害経路
初期の侵害経路はフィッシング攻撃などを介したアーカイブファイルの配布とされる。アーカイブファイルには「Haihaisoft PDF Reader」の署名付きアプリケーションと、悪意のあるDLL(Dynamic Link Library)が含まれ、アプリを実行すると感染チェーンが開始されるという。
具体的には、悪意のあるスクリプト「Evidence.cmd」の作成と実行、PDFファイル内に埋め込まれた暗号化RARファイルの展開、WinRAR(ファイル名はimages.png)を使用したRARファイルの展開と検出の回避、Pythonの実行環境構築、永続性の確保とマルウェアの実行が行われる。
-
侵害経路 引用:SentinelOne
7月の最新の事案では、署名付きアプリケーションに「Microsoft Word 2013」、悪意のあるDLLファイルに「msvcr100.dll」を使用する変更が確認されている。またこのケースでは、おとり文書として無害なWordファイルを表示する仕掛けも追加されたという。
影響と対策
最終的に実行される情報窃取マルウェア「PXA Stealer」には、次の情報を多数のアプリから窃取する機能があるとされる。
- 認証情報
- 金融データ
- WebブラウザのデータとCookie
- 暗号資産ウォレットに関する機密情報
被害者の多い国は上から韓国、米国、オランダ、ハンガリー、オーストリアとされる。感染チェーンは改良が続けられており、セキュリティソリューションの回避、分析の妨害など高度な進化がみられるという。
SentinelOneはこの攻撃に対する防御策の提案を行っていないが、前述の不審なアーカイブファイルや、アーカイブファイルに含まれる正規の実行可能ファイルに注意することが推奨される。同社は調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、セキュリティ対策に活用することが望まれている。
