Gremlin Stealerマルウェアの最新版は、ステルス性を新たなレベルに引き上げており、破壊的なペイロードを隠すために.NETリソースファイルを悪用しています。
もともと基本的な認証情報盗用ツールとして知られていましたが、この脅威は積極的な金融詐欺と継続的な身元盗用を目的としたモジュール型ツールキットへと急速に進化しました。
Gremlin Stealerは現在、リソースセクションを使用して、Agent Teslaなどの著名なマルウェアファミリーやGuLoaderの回避戦術を模倣しています。
悪質なコードを不透明なリソースブロックにシフトさせ、単一バイトのXOR復号化ルーチンでマスクすることにより、マルウェアはシグネチャベースの検出とヒューリスティックスキャンを正常に回避しています。
発見時、このサーバーはVirusTotalなどのスキャンプラットフォームでゼロ検出を示しており、ブロックリストエントリやコミュニティレポートはありませんでした。
システムが侵害されると、マルウェアは収集されたアーティファクトを被害者の公開IPアドレスにちなんで名付けられたZIPアーカイブにバンドルします。次のような機密情報を積極的に狙っています:
レガシーサンプルと現在のバージョンを比較すると、分析対策技術の明らかな進化が見られます。
古いバージョンは難読化を欠いており、内部シンボルはそのままでリバースエンジニアリングが容易でした。
新しいGremlin Stealerは、必要な時にのみ重要な機能を復号化してメモリにマップするステージドローディングメカニズムを実装しています。
セキュリティ研究者をさらに困惑させるために、マルウェアは3つの主要な回避技術に依存する複雑な商用ユーティリティを使用してパックされています。
第一に、識別子の名前変更を使用してクラスと変数の意味のある名前をランダムな文字に置き換え、コードからすべてのコンテキストを削除しています。
第二に、マルウェアはURLなどの読取可能なテキストを隠すために文字列暗号化に依存し、実行時のみ真の文字列を明らかにする組み込みデコーダー機能を使用しています。
最後に、制御フロー難読化を使用して無用なロジックの迷路を作成し、実行パスを無意味なジャンプコマンドで埋めて、単に分析者の時間を浪費させています。
現在、複数のシステムパスをスキャンして最新の通信プラットフォームを侵害する専用のDiscordトークン抽出モジュールを備えています。
この脅威はまた、暗号クリッパーの展開を通じて、受動的なデータ盗難から積極的な金融干渉へとシフトしています。
このモジュールは暗号通貨ウォレットに関連するパターンについて被害者のクリップボードを継続的に監視しています。
翻訳元: https://cyberpress.org/gremlin-conceals-malware-payloads/
