パロアルトネットワークスのUnit 42の研究者によれば、Gremlinスティーラーの新バージョンは、基本的な認証情報ハーベスターからモジュール式ツールキットへと進化しています。
当初は2025年4月に出現したインフォスティーラーは、わずか12ヶ月後の現在、新しい難読化技術と新しいアンチアナリシスセーフガードを備えた最新ビルドへと急速に進化しています。
Gremlinスティーラーは、侵害されたシステムから機密情報を抽出し、攻撃者が管理するサーバーに流出させ、潜在的に公開または販売します。ウェブブラウザ、システムクリップボード、ローカルストレージをターゲットにしています。
新しいバリアントはステルス性に重点を置き、静的分析ツールを回避するために特別に設計されています(研究によると)。
これには、マルウェア作成者が悪意のあるペイロードを.NETリソースセクションにシフトさせ、XORエンコーディングでマスクしてシグネチャベースの検出とヒューリスティックスキャンをバイパスすることが含まれます。
コアアーキテクチャとプライベートウェブパネルまたはTelegram Bot API経由の流出方法は、古いバージョンと一貫しています。
新しいデータ公開サイト
新しいバリアントは盗まれたデータを新しくデプロイされたサイト(hxxp[:]194.87.92[.]109)に流出させます。
問題なのは、Unit 42の分析によると、新しいデータ公開サイトを発見した時点で、VirusTotalは新しいサイト、関連するURL、または取得されたアーティファクトのいずれについても検出をゼロと表示したということです。ブロックリストエントリ、コミュニティレポート、または悪意のあるカテゴリー分けはありませんでした。
- ブラウザのクッキー
- セッショントークン
- クリップボードの内容
- 暗号資産ウォレットデータ
- FTPおよびVPN認証情報
マルウェアは被害者のパブリックIPアドレスを使用してファイルに名前を付けてソースを識別し、その後、攻撃者が管理するサイトにアップロードします。
最新のGremlinバリアントの主要な強化
パロアルトネットワークスのUnit 42のアナリストは、最新バリアントがDiscordトークンを抽出するための専用モジュールを備えており、ソーシャルエンジニアリング攻撃を通じてデジタルアイデンティティをターゲットするために使用できると述べています。
同時に、マルウェアはより積極的な経済的な方向に向かっています。研究者は「クリプトクリッパー」機能の追加を観察し、Gremlinが暗号資産トランザクションに積極的に干渉することを可能にしています。
被害者のクリップボードをウォレットアドレスについて監視し、それを攻撃者が管理するアドレスと交換することにより、マルウェアはユーザーの知識なしにリアルタイムで資金をリダイレクトできます。
更新されたバージョンはWebSocketベースのセッションハイジャック機能も導入しており、攻撃者は実行中のプロセスからアクティブなブラウザセッションを直接ハイジャックでき、最新のクッキー保護をバイパスし、認証されたアカウントへのすぐアクセスが可能になります。
「Gremlinスティーラーの最新バリアントは、より複雑な脅威への進化を示しています。単純なデータ流出ツールからより高度なモジュール式スティーラーへの移行により、Gremlinはクロムベースのブラウザをターゲットにしています」と研究者は述べました。
翻訳元: https://www.infosecurity-magazine.com/news/gremlin-stealer-evolves-into/
