Outlookが標的 高度に難読化された新型マルウェア「Strela Stealer」が登場：セキュリティニュースアラート

Trustwaveが「Strela Stealer」という情報窃取型マルウェアに関する分析結果を発表した。同マルウェアは高度に難読化されており、動作を隠蔽することで解析を困難にしているという。

[後藤大地，有限会社オングス]

　Trustwaveは2025年3月6日（現地時間）、情報窃取型マルウェア「Strela Stealer」に関する詳細な分析を発表した。

　Strela Stealerは主に「Mozilla Thunderbird」や「Microsoft Outlook」のメールアカウント情報を窃取することを目的としたマルウェアとされている。

Outlookを標的に　高度に難読化された新型マルウェア「Strela Stealer」の脅威

　Strela Stealerは2022年後半から活動が確認されており、特定の欧州諸国に絞って攻撃を実行していることが判明している。特に標的とされているのはスペインやイタリア、ドイツ、ウクライナなどで大規模なフィッシングキャンペーンを通じて拡散されている。最近では実際に存在する企業の請求書メールを装った手口が使われており、正規の請求書の代わりにマルウェアが仕込まれたZIPファイルが送付されていた。

　Strela Stealerの感染プロセスは以下のように進行する。

• フィッシングメールの送信：　偽の請求書メールを送り、添付されたZIPファイルの開封を促す。電子メールは標的国の言語で書かれている
• マルウェアの実行：　添付のZIPファイルの中にはJScript形式のスクリプトが含まれている。「Windows Script Host」（wscript.exe）を利用し、マルウェアが動作する
• ターゲットの確認：　スクリプトはシステムの言語設定をチェックし、攻撃対象の国（ドイツやオーストリア、スイスなど）でのみ次のステージに進む
• マルウェア本体のダウンロードと実行：　公開されているWebDAVサーバからDLLファイル（マルウェア本体）をダウンロードして実行する。ユーザーの警戒を避けるため、同時に偽のPDFファイルを表示する
• 情報の窃取：　システム内の電子メールアカウント情報（パスワードやサーバ情報）を収集。取得したデータは、攻撃者の管理するサーバに送信される

　IBM X-Forceの調査によると、Strela Stealerは「Hive0145」と呼ばれる攻撃者グループによって運用されていると考えられている。マルウェアのC2サーバはロシアのBulletproof hosting providers（法的措置を回避しやすく、不正行為に悪用される匿名性の高いサーバ）に設置されている。

　Strela Stealerのコードは高度に難読化されており、解析を困難にする手法が多数取り入れられている。多層のコード難読化やペイロードの暗号化、仮想メモリの動的操作といった技術が使用されている。特殊なローダーが使用されており、マルウェアの動作を特定しにくくしている。

　Strela Stealerは標的国を限定しつつ、進化を続ける情報窃取型マルウェアとなっている。攻撃者はより巧妙なソーシャルエンジニアリングを取り入れ、実際のビジネスメールを利用した手口を展開している。

　電子メールを利用したサイバー攻撃のリスクを減らすには不審な添付ファイルを開かないこと、多要素認証（MFA）の活用、セキュリティ対策ソフトの導入などが推奨される。企業や個人ユーザーは、最新の脅威に関する情報を常に把握し、適切な対策を講じることが重要となる。