PXA Stealer、フィッシングZIPで金融機関の認証情報窃取

金融機関を狙う攻撃動向

2026年第1四半期において、PXA Stealerを用いた金融機関向け攻撃の増加が確認された。本マルウェアは、LummaやRhadamanthys、RedLineなど既存のインフォスティーラーの減少に伴い、その代替として利用が拡大している。

分析によれば、PXA Stealerの活動は従来比で約8〜10％増加したとされる。

フィッシングZIPを利用した感染手口

本攻撃はフィッシングメールを起点とし、ZIPアーカイブへのリンクを通じて感染を誘導する手口となっている。メールには就職申請書や税務書類、法的文書などを装ったファイルが用いられる。

ダウンロードされたZIPファイルには「Document.docx.exe」などの二重拡張子ファイルが含まれており、ユーザーに実行を促す構成となっている。実行後は多段階の処理が開始され、隠しディレクトリやPythonインタプリタを利用したマルウェアの展開が行われる。

検知回避を目的としたLoL手法

PXA Stealerは、Windowsの正規ユーティリティであるcertutil.exeを悪用し、検知回避を図る手法を採用している。暗号化されたペイロードはcertutilを用いてデコードされ、PDFファイルを装って配布される構成となっている。

また、picture.pngを装ったWinRAR実行ファイルを用いてアーカイブを展開し、展開後のファイルはパスワード付きアーカイブへ再構成された上で「C:\Users\Public\WindowsSecure」ディレクトリに保存される。その後、Pythonインタプリタを「svchost.exe」に偽装して実行することで、不正処理を継続する仕組みが確認されている。

匿名性を確保する通信手法

PXA Stealerは、Telegramのボット識別子を利用したC2通信を行う構成となっている。窃取したデータはTelegramチャンネルを通じて外部へ送信される。

また、Windowsレジストリを改変することで永続化を確立し、再起動後も継続的に情報収集を行う挙動が確認されている。

対策と監視強化の必要性

本件を踏まえ、不審なZIPやRARファイルを含むメールへの警戒が求められるほか、「.xyz」や「.shop」などのドメインを用いた不審な通信の監視強化が重要となる。

また、Telegramなどのメッセージングプラットフォームを利用した通信についても、データ送信の挙動を含めた継続的な監視が必要とされる。関連する脅威情報の把握と更新を通じた防御体制の強化が求められる。