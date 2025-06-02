アーカイブが抽出および解凍されると、被害者はSwift Transaction Report.jsという名前のファイルを見つけます。このファイルには、難読化されたJavaScriptが含まれています。このスクリプトは、Unicodeエスケープ・エンコーディングと文字列連結技術を使用して検知を回避するように設計されています。スクリプトを実行すると、Swift Confirmation Copy.jarやTranzacție+în+USD-pdf.jarなどの高度に難読化された Java アーカイブ（JAR）ファイルのダウンロードがトリガーされます。これらは第1段階のダウンローダーとして機能し、BranchlockやZelix KlassMasterなどの難読化ツールを利用して、静的および行動分析を回避しました。

IBM® X-Forceは、JavaScriptを含むZipファイルの代わりにJARダウンローダーをドロップし、感染チェーンの一段階を回避したいくつかのSVGサンプルを分析しました。

ターゲット・システムにJavaランタイム環境（JRE）がインストールされている場合、ローダーは実行され、サンドボックスまたは分析ツールを検知するための一連の環境チェックを開始します。これらには、システム・プロセス、エントロピー、仮想化指標の検査が含まれます。実際のユーザー環境を検証した後のみ、マルウェアは第2段階ペイロードを取得しようとしました。

それを実現するために、攻撃者が管理するAmazon S3バケットに連絡し、悪意のあるダウンロードを他の信頼できるクラウド・サービス・トラフィックに組み込みました。一部の亜種では、暗号化されたペイロードを無害なものに見えるおとりファイル内に埋め込み、転送中に検知される可能性をさらに高めていました。