PureLogsの新たな配布手口VEIL#DROP、Google Blogspotを悪用しメモリ上だけでマルウェアを実行

セキュリティニュース

投稿日時: 更新日時:

PureLogsの新たな配布手口VEIL#DROP、Google Blogspotを悪用しメモリ上だけでマルウェアを実行

セキュリティ企業Securonixの脅威リサーチチームは2026年6月末、VEIL#DROPと名付けた新しいマルウェア配布の手口を報告しました。攻撃の最終目的は、当サイトでも偽の発注書メールを使った配布キャンペーンとして以前取り上げたインフォスティーラーPureLogsを感染させることですが、今回報告されたVEIL#DROPは、その運び方が従来以上に手が込んでいます。偽のPDFファイルから始まり、Googleが運営するブログサービスBlogspotを踏み台にしながら、ディスクに一切ファイルを残さずメモリ上だけで最終的なマルウェアを起動する設計になっており、実行の各段階で検知を避けるための工夫が幾重にも重ねられています。

サマリー

  • Securonixは2026年6月末、PureLogsを配布する新しい攻撃手口をVEIL#DROPと名付けて報告した
  • 感染はtranscript.pdf.jsのような、PDFに偽装したJavaScriptファイルから始まり、Windowsが既知の拡張子を隠す設定になっていることを利用して、利用者にPDFだと誤認させる
  • このJavaScriptがPowerShellを起動し、Googleのブログサービスであるblogspot[.]com上に置かれた攻撃者管理下のページから次の段階のコードを取得する。Blogspotという信頼度の高いドメインを踏み台にすることで、ドメインの評判に基づく防御をすり抜けている
  • 取得したコードはXOR(排他的論理和)による独自の暗号化で保護されており、実行時に初めて復号される。さらに次にアクセスするBlogspot上のURLをスラッシュの数を毎回変えて動的に生成することで、固定のURLパターンに基づく検知を回避する
  • 復号後のコードは.NETアセンブリとして、リフレクションと呼ばれる手法によりディスクに書き出すことなくメモリ上で直接実行される。この経路が使えない場合は、RegSvcsやInstallUtil、MSBuildといったMicrosoft製の正規ツールを使って同じ処理を実現するという、複数の実行手段を順に試す仕組みも備えている
  • 最終的に実行されるPureLogsは、ブラウザに保存された認証情報やクッキー、暗号資産ウォレットの情報、端末の各種情報を窃取する。盗まれたセッションクッキーは多要素認証を回避する手段としても悪用されうる
項目 内容
手口の名称 VEIL#DROP(Securonixによる命名)
報告日 2026年6月末(Securonix Threat Research)
最終的なマルウェア PureLogs Stealer(.NETベースのインフォスティーラー)
初期侵入の形態 PDFに偽装したJavaScriptファイル(例:transcript.pdf.js)。侵害されたWebサイトや標的型メールを通じて配布された可能性
悪用されたインフラ Google Blogspot(blogspot[.]com)
主な回避技術 XOR暗号化、動的URL生成、実行時のスクリプト変異、.NETリフレクションによるメモリ内実行、LOLBIN(正規ツール)を使った代替実行
窃取される情報 ブラウザの認証情報・クッキー・自動入力情報・閲覧履歴・暗号資産ウォレット・端末情報

何が起きたか

VEIL#DROPは単体の新種マルウェアではなく、既知のインフォスティーラーであるPureLogsを、これまで以上に見つかりにくい形で届けるための配送の枠組みです。感染は、侵害されたWebサイトや標的型メールを通じて配布されたとみられる、文書ファイルを装ったJavaScriptファイルへの利用者の操作から始まります。Windowsは既定の設定で拡張子を表示しないため、実際にはtranscript.pdf.jsという名前のファイルであっても、利用者の目にはtranscript.pdfという普通のPDF文書に見えてしまいます。ダブルクリックすると、Windows Script HostによってこのJavaScriptが実行され、実行ポリシーを無効化した状態でPowerShellが起動します。ここから先は一貫してPowerShellが主役となり、Googleのブログサービスであるblogspot[.]com上に用意された攻撃者管理下のページへアクセスして、次の段階のコードを取得していきます。

Blogspotという、世界的に信頼されているGoogleのドメインを中継地点として使う点が、この手口の特徴です。通常、見慣れない独自ドメインへの通信は警戒されやすいものですが、Blogspotへのアクセスは日常的なWebブラウジングの一部として扱われやすく、ドメインの評判をもとにした防御をすり抜けやすくなります。

Blogspotから取得したコードに施された何重もの仕掛け

Blogspotから取得した最初のPowerShellコードは、単に次のコードを実行するだけでなく、複数の後始末と偽装を行います。感染の痕跡を消すために最初のJavaScriptファイルを削除し、干渉しそうなプロセスをいくつか終了させ、さらに利用者を油断させるために一見無害なWebページを開いて、あたかもPDFが正常に開いたかのように見せかけます。そのうえで、埋め込まれていた暗号化データをXOR(排他的論理和)という単純ながら効果的な手法で復号します。

ここから先の処理が、VEIL#DROPの中でも特に手が込んでいる部分です。復号されたコードは、次にアクセスするBlogspotのURLを、実行のたびにスラッシュの数をランダムに変えることで動的に生成します。最終的にたどり着く先は同じページであっても、URLの見た目が実行のたびに変わるため、固定のURLを登録して防ぐタイプの対策が効きにくくなります。加えて、スクリプト内の変数名や一時的な値もランダムな文字列に置き換えられており、実行するたびにファイルのハッシュ値やスクリプトの見た目そのものが変化します。これにより、過去に検知した検体の特徴と照合するタイプの対策も回避されやすくなっています。

メモリ上だけで完結する実行と、正規ツールへの回避手段

こうして再構成されたコードは、ディスクに保存されることなくメモリ上でそのまま実行され、最終的には大きな数値の並びとして埋め込まれていた2つのデータブロックを、別の方式のXOR復号によって.NETのアセンブリ(実行可能なプログラムの単位)へと復元します。復元されたアセンブリは、Reflection.Assembly.Load()という.NETの機能を使い、実行ファイルとしてディスクに書き出すことなく、そのままメモリ上で読み込まれ実行されます。この手法はリフレクションによるコード読み込みと呼ばれ、実行ファイルを介さないためファイルスキャン型のウイルス対策ソフトでは検知しづらくなります。

さらに興味深いのは、この経路が何らかの理由で使えなかった場合に備えた代替手段です。VEIL#DROPは、RegSvcs・InstallUtil・MSBuild・csc(C#コンパイラ)・vbc(Visual Basicコンパイラ)・ILAsm・aspnet_compilerといった、いずれもMicrosoftが署名した正規の.NET関連ツールを使って同じ目的を達成できるよう設計されています。これらはLOLBIN(Living off the Land Binary)と呼ばれる、本来は開発や運用のために存在する正規のツールで、セキュリティ製品からも比較的警戒されにくい存在です。VEIL#DROPは特定の1つのツールに依存するのではなく、リフレクションによる実行を試し、失敗すればRegSvcsを試し、それも失敗すればInstallUtilを試すというように、成功するまで複数の手段を順番に試していく設計になっています。この粘り強さが、環境ごとのセキュリティ対策の差を突いて感染を成立させやすくしている要因です。

原因はなぜここまで検知回避に注力するのか、PureLogsが狙う情報

VEIL#DROPがこれほど手の込んだ回避策を積み重ねている背景には、最終的に実行されるPureLogsそのものの価値があります。PureLogsは、Chrome・Edge・Firefox・Brave・Operaといった主要ブラウザに保存された認証情報、クッキー、自動入力情報、閲覧履歴に加えて、MetaMaskやExodus、Trust Walletといった暗号資産ウォレットの情報まで幅広く窃取します。あわせて端末名やユーザー名、OSのバージョン、導入されているソフトウエアといった端末の情報も収集し、攻撃者が被害端末の価値を判断する材料として利用します。

特に注意が必要なのは、窃取されたセッションのクッキーが、多要素認証を回避する手段として悪用されうる点です。パスワードそのものを盗まれていなくても、ログイン済みのセッション情報さえ手に入れば、攻撃者はその情報を使って正規のログインを経由せずにアカウントへアクセスできてしまいます。窃取された認証情報やクッキーは、闇市場で売買されることも多く、単一端末の感染にとどまらず、そこから業務システムやクラウド環境への侵入につながるリスクをはらんでいます。

当サイトで以前扱ったClickFixと呼ばれるソーシャルエンジニアリング手法や、VS Codeの偽拡張機能を使った同種のメモリ内実行キャンペーンとも共通する点ですが、いずれも実行ファイルをディスクに残さず正規のツールを踏み台にするという設計思想は、近年の情報窃取型マルウェアに広く見られる潮流だと感じています。

情報システム部門への示唆

VEIL#DROPのように、ファイルをほとんどディスクに残さず、正規のクラウドサービスと正規のWindowsツールだけで完結してしまう攻撃に対しては、ファイルスキャンを中心とした従来型の対策だけでは限界があります。まず基本的な対策として、拡張子を表示する設定を有効にし、transcript.pdf.jsのような二重拡張子のファイルに対する注意喚起を社内で徹底することをお勧めします。あわせて、wscript.exeやcscript.exeがpowershell.exeを呼び出すといった、通常の業務ではあまり見られないプロセスの親子関係を監視対象に加えることも有効です。

PowerShellについては、スクリプトブロックログ(イベントID 4104)やモジュールログを有効化し、Invoke-RestMethodやInvoke-Expression、実行ポリシーのバイパスを伴うコマンドの実行を監視することをお勧めします。加えて、Reflection.Assembly.LoadやAdd-Typeといった、メモリ上でのアセンブリ読み込みに関連する挙動、そしてRegSvcsやInstallUtil、MSBuildといった.NET関連ツールがPowerShellから呼び出されるという通常はあまり見られない実行パターンについても、監視対象として組み込んでおくとよいでしょう。個々の挙動だけを見ると業務利用と区別がつきにくいものも多いですが、JavaScriptの実行からPowerShellの起動、Blogspotへの通信、そして正規ツールを使ったメモリ内実行という一連の流れとして捉えることで、検知の精度を高められるはずです。

 

出典