2025年を通じて、IBM® X-Forceは世界中の金融機関を標的としたフィッシング・キャンペーンを追跡してきました。このオペレーションでは、JavaScriptに埋め込まれた武器化されたスケーラブル Vector Graphics（SVG）ファイルを活用し、多段階マルウェア感染を開始しました。フィッシングでのSVGの使用は新しいものではありませんが、最近のレポートでは、この手口の増加率が顕著であり、脅威のランドスケープがより広範に変化していることを示しています。
このキャンペーンは、従来の認証情報の収集を超えており、高度なローダー、モジュール式リモート・アクセス型トロイの木馬（RAT）、コマンド・アンド・コントロール（C2）用のAmazon S3やTelegramなどの信頼できるインフラストラクチャーを採用しています。このアクティビティーは、攻撃者がフィッシング技術を本格的な初期アクセス運用に進化させていることを示しています。
X-Forceの分析により、SVGファイルを最初の攻撃ベクトルとして利用した世界的なフィッシング・キャンペーンが明らかになりました。金融取引文書を装ったこれらのファイルには、システムにZIPアーカイブを書き込むJavaScriptが埋め込まれています。アーカイブ内では、JavaScriptファイルがマルウェアの感染チェーンをInitiateし、最終的にBlue Banana、SambaSpy、SessionBotなどのRATをデプロイします。これらのペイロードは、認証情報の盗難、セッション・ハイジャック、監視、データ窃取のために設計されており、標的の組織に重大なリスクをもたらします。
このマルウェアは、Amazon S3とTelegramチャットボットAPIを介して通信し、正規のトラフィックに紛れ、検知作業を複雑にしています。フィッシング・フィルターでほとんど精査されないファイル形式を使用することで、このキャンペーンは従来の防御策を容易に回避します。
このアプローチは、最近のOSINT報告、技術ブログ、業種・業務分析における新たなパターンを反映しており、SVGがマルウェアを埋め込み、被害者を悪意のあるコンテンツにリダイレクトするためにますます悪用されていることを浮き彫りにしています。
注目すべきことは、このキャンペーンでは、金融機関が安全なメッセージングのために使用する世界的なネットワークであるSWIFT（Society for Worldbank Financial Telecommunication、SWIFT）を言及したSWIFTをテーマにしたルアーが使用されており、金融セクターの被害者に意図的に焦点を当てていることを示唆しています。
この活動は、フィッシング詐欺における幅広い傾向を示しています。攻撃者は認証情報の盗難にとどまらず、クリエイティブで知名度の低いベクターを使用した高度なマルウェアを配布しています。防御側は、SVGのような無害なファイル・タイプでもマルウェア配布プラットフォームとして機能する可能性があることを認識し、それに応じて検出ロジックと従業員のトレーニングを適応させる必要があります。
なりすましのログイン・ページを通じて認証情報の盗難を目的とする一般的なフィッシング・キャンペーンとは異なり、このキャンペーンはルアーからローダーへと移行し、イメージ・ファイルに見えるものを多段階のマルウェア感染チェーンの起点に変えました。
キャンペーンの初期アクセス段階では、SWIFT Global Servicesを装ったフィッシングEメールが使用され、時間に敏感な支払いや送金の確認を受信者にレビューするよう促しました。正規の文書として提示された添付ファイルは、JavaScriptを含む武器化されたSVGでした。
レンダリングされると被害者はPDFファイルに見えるレポートをダウンロードするように興味をそそられますただし、いずれかのPDFを選択すると、JavaScriptがトリガーされ、ZIPアーカイブ・ファイルをシステムに保存されます。
アーカイブが抽出および解凍されると、被害者はSwift Transaction Report.jsという名前のファイルを見つけます。このファイルには、難読化されたJavaScriptが含まれています。このスクリプトは、Unicodeエスケープ・エンコーディングと文字列連結技術を使用して検知を回避するように設計されています。スクリプトを実行すると、Swift Confirmation Copy.jarやTranzacție+în+USD-pdf.jarなどの高度に難読化された Java アーカイブ（JAR）ファイルのダウンロードがトリガーされます。これらは第1段階のダウンローダーとして機能し、BranchlockやZelix KlassMasterなどの難読化ツールを利用して、静的および行動分析を回避しました。
IBM® X-Forceは、JavaScriptを含むZipファイルの代わりにJARダウンローダーをドロップし、感染チェーンの一段階を回避したいくつかのSVGサンプルを分析しました。
ターゲット・システムにJavaランタイム環境（JRE）がインストールされている場合、ローダーは実行され、サンドボックスまたは分析ツールを検知するための一連の環境チェックを開始します。これらには、システム・プロセス、エントロピー、仮想化指標の検査が含まれます。実際のユーザー環境を検証した後のみ、マルウェアは第2段階ペイロードを取得しようとしました。
それを実現するために、攻撃者が管理するAmazon S3バケットに連絡し、悪意のあるダウンロードを他の信頼できるクラウド・サービス・トラフィックに組み込みました。一部の亜種では、暗号化されたペイロードを無害なものに見えるおとりファイル内に埋め込み、転送中に検知される可能性をさらに高めていました。
回避チェックに合格すると、ローダーは攻撃者が管理するAmazon S3バケットへのアウトバウンド接続を確立し、暗号化された第2段階のペイロードを取得しました。クラウド・ベースのインフラストラクチャーを使用すると、Amazonaws.comなどのサービスへのトラフィックが通常の企業活動に紛れ込むことが多くなったため、検知の取り組みはさらに複雑になりました。
ペイロードは次の場所からダウンロードされていることが観察されました。
復号化と解凍の際に、マルウェアは次のような主要な永続化場所にファイルを書き込みます。
ファイル・ベースの永続性に加えて、スケジュールされたタスクや変更されたレジストリーの自動実行キーを登録して、システムの再起動間のアクセスを維持するという亜種もありました。また、いくつかのサンプルはユーザー・インタラクションに基づいて実行やゲート機能を遅延させ、自動サンドボックスを通じて検知をさらに複雑にしました。
このキャンペーンでデプロイされたマルウェアはモジュール式アーキテクチャーを示しており、オペレーターは被害者の環境と目的に基づいて機能をカスタマイズできます。IBM® X-Forceは、重複する監視、データ盗難、永続化機能を備えた複数のペイロードの使用を観察しました。
さらに、キャンペーンではOutlookに重点を置いたEメール・スティーラー（email.js）が使用されましたwscript.exe経由で実行されました。Outlookのプロファイルをスキャンし、受信トレイの内容を抽出し、TelegramベースのHTTP POST要求を介してデータを流出させます。
マルウェアは、その活動を隠すために、無害に見えるおとりファイル（例：Tranzacäe+úin+USD-pdf.txt、Swift Confirmation Copy.pdf）をドロップすることで、悪意のあるプロセスがバックグラウンドで実行されている間、正当性の誤解を強化することができました。
Amazon S3インフラストラクチャーに加えて、このキャンペーンではTelegramのチャットボットAPIを侵害後のコマンド・アンド・コントロール（C2）に活用しました。このアプローチにより、脅威アクターは、企業環境で一般的に許可されている暗号化されたメッセージング・インフラストラクチャー全体で、感染したホストと対話し、機密データを流出し、命令を動的に発行できるようになりました。
C2通信は以下を経由してルーティングされました。
これらのチャネルは、システム偵察、Outlook受信トレイデータの抽出、およびSessionBotやemail.js Outlookスティーラーなどのマルウェア・モジュールによるファイルのキャプチャーに使用されました。Telegramを使用することで、匿名性、暗号化、運用の容易さが実現すると同時に、従来のネットワーク監視による検知も複雑になりました。
このデュアルチャネル・インフラストラクチャー・モデルは、クラウド・ベースのペイロード・ホスティングと暗号化されたメッセージングを組み合わせており、悪意のあるトラフィックを信頼できるサービスに融合させ、滞留期間を延長し、成功の可能性を高めるという金銭目的の脅威アクターの間での傾向が高まっていることを反映しています。
X-Forceは、4月末にSWIFTをテーマにしたルアーの使用から、金融犯罪捜査をテーマにしたルアーに変更した証拠を観察しました。
このテーマを使用したSVGファイルは、JARファイル、Case No.86-2025.jar、をディスクに格納します。このJARは、SWIFTをテーマにしたキャンペーンで使用されたのと同じJavaベースのダウンローダーです。もう1つの変更には、JavaベースのRATである「STRRAT」が含まれ、SambaSpyやBlue Banana RATとともにダウンロードされたことが観察されました。STRRATは、情報窃取能力と複数の悪意のある機能を実現する柔軟性で知られています。STRRATは比較的軽量であるにもかかわらず、ランサムウェアの動作を模倣し、感染したシステムを完全なリモート制御を可能にすることができます。
このキャンペーンは、認証情報の収集を超えて、モジュール式マルウェアの配信、長期的なアクセス、データ窃盗に向けて移行する、フィッシングの手口における広範な進化を反映しています。セキュリティー・フィルターによって見落とされがちな形式であるSVGファイルを悪用することで、脅威アクターは従来の検知ロジックのギャップを悪用する意欲を示しています。
SWIFTをテーマにしたルアーの使用は、金融機関に意図的に焦点を当て、知っていることと信頼を利用してクリックスルー率を高めていることを浮き彫りにします。クラウド・ベースのインフラストラクチャーとTelegramなどの暗号化メッセージング・チャネルと組み合わせることで、攻撃者は悪意のあるアクティビティーを通常のトラフィックに効果的に紛れさせ、早期検知の可能性を低減します。
防御側にとって、これは「安全な」ファイル・タイプと無害なインフラストラクチャーに関する前提を再評価する必要性を浮き彫りにします。フィッシングはもはや単なるEメールの問題ではなく、高度な多段階の侵入攻撃への侵入口になっています。組織は常に警戒を続け、非従来のベクトルに可視性を拡大し、攻撃者のイノベーションのペースに合わせて検知ロジックを継続的に適応させる必要があります。
組織は、エンドポイントの可視性、安全な構成、教育を組み合わせることで、このようなキャンペーンにさらされる機会を減らすことができます。
分類
インジケーター・タイプ
コンテキスト
141e8bf99ff6b58816951ed8bfd82
SHA256ファイル・ハッシュ
Tranzacție+în+USD-pdf.jar (Java downloader)
ae345b40d165255284bf4c6ab00
SHA256ファイル・ハッシュ
Swift Confirmation Copy.jar (Java downloader)
a4ed118f15c5c943d5964fe381f1bd
SHA256ファイル・ハッシュ
Case No.86-2025.jar (Java downloader)
6a9f195f6fa9b298b94235b9b7dfa
SHA256ファイル・ハッシュ
email.js (Outlook email stealer)
8bcba87df6d459a573441fb848b9
SHA256ファイル・ハッシュ
Swift Confirmation Copy.pdf (decoy file)
701435e822a78b82d53281af3ffb2
SHA256ファイル・ハッシュ
Swift Transaction Report.js (JavaScript downloader)
f92240185abf62317800180aba0fb
SHA256ファイル・ハッシュ
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
SHA256ファイル・ハッシュ
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
SHA256ファイル・ハッシュ
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
SHA256ファイル・ハッシュ
tg.jar (SessionBot Implant)
tcp[:]//wwce.zapto[.]org:443
ドメイン
C2 for SambaSpy and Blue Banana RATs
tcp[:]//wce.zapto[.]org:443
ドメイン
C2 for SambaSpy and Blue Banana RATs
str-master[.]pw
ドメイン
C2 for STRRAT
api.telegram[.]org
ドメイン
Telegram APIを介した情報漏洩およびボット通信
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
Amazon S3バケットでホストされた初期ペイロード
https[:]/ Season/gretting.s3.eu-west-1.amazonaws[.]com
URL
Amazon S3バケットでホストされているペイロード
https[:]/ Season/monster.s3.us-east-1.amazonaws[.]com
URL
Amazon S3バケットでホストされているペイロード
https[:]//fulpremier.s3.eu-west-1.amazonaws[.]com
URL
Amazon S3バケットでホストされているペイロード
java -jar Tranzaczanie+ún+USD-pdf.jar
プロセス
マルウェア実行コマンド
Tasklist.exe
プロセス
分析ツールを列挙するためにマルウェアが使用
wscript.exe email.js
プロセス
Eメール盗難処理を実行する
swiftzjy1@financeplus[.]me
Eメール・アドレス
脅威アクターEメール
swiftkbp1@farmaciafamiliei[.]md
Eメール・アドレス
脅威アクターEメール
swiftkcs1@farmaciafamiliei[.]md
Eメール・アドレス
脅威アクターEメール
swiftotb1@financeplus[.]me
Eメール・アドレス
脅威アクターEメール
swiftugt1@financeplus[.]me
Eメール・アドレス
脅威アクターEメール
swiftvqz1@financeplus[.]me
Eメール・アドレス
脅威アクターEメール
swiftzjy1@financeplus[.]me
Eメール・アドレス
脅威アクターEメール
Swift Confirmation Copy.jar
Javaアーカイブ・ファイル
初期実行で使用される悪意のあるJAR
Swift Transaction Report.js
JavaScriptファイル
難読化JavaScriptローダー
Swift Confirmation Copy.pdf
PDFファイル
初期感染後に表示されるデコイのPDFファイル
