管理者認証情報と揮発性セッショントークンの流出は、粗暴なブルートフォース侵入としてではなく、実行の決定的な瞬間まで完全な沈黙を保つように綿密に設計された難読化メカニズムとして、ますます現れています。Gremlin Stealerの系統から新たに分離された変種はこのパラダイムを完璧に例示しており、マルウェアは主要なコードサブルーチンを無害に見えるリソースファイル内に隠蔽し、フォレンジック分析を複雑にして、ホスト防御システムが脅威について長期間盲目のままであることを保証します。
Palo Alto Networks内のUnit 42の脅威インテリジェンス実務者は、Gremlin Stealerのこの現代的反復を法医学的に分析し、著者の運用戦術における深刻な変異を特定しました。彼らのテレメトリは、このユーティリティがWebブラウザ、システムクリップボード、ローカルリポジトリ、暗号通貨ウォレット、FTPおよびVPNクライアントからアセットを体系的に収集することを確認しています。その目標の中で特に目立つのは、セッションクッキー、金融決済設定、およびライブ認証トークンです。
略奪されたデータは、敵対的なインフラストラクチャへの送信前に単一のZIPアーカイブに統合されます。ファイルは被害者の公開IPアドレスから派生した命名法がプログラムで割り当てられ、Gremlin Stealerオペレーターが自分のデジタル戦利品を迅速にカタログして分類することを可能にします。発見時に、hxxp[:]194.87.92[.]109に位置する新たに実装されたコマンドアンドコントロール(C2)ノードは、VirusTotal上で完璧なプロファイルを維持していました。シグネチャ検出、ブラックリスト定義、または悪意のある意図を示すコミュニティ主導のテレメトリーが完全に欠落していました。
このイテレーション内の決定的なアーキテクチャの変化は、その高度な偽装技術に焦点を当てています。開発者はコア実行可能ペイロードを.NETリソースパーティションに移行し、反復的なXORエンコードスキームを介してデータ構造を隠蔽しました。この戦術的な策略は、文字列、C2ネットワーク宛先、および重要なAPI呼び出しを標準的な静的分析ツールから正常に遮蔽します。動的復号化シーケンスを実行すると、研究者は管理管理とデータ流出ルーティング専用のハードコードされたURLを発掘します。
さらに、Gremlin Stealerはより複雑ではるかに複雑な初期化パイプラインを取り込みました。重要な運用サブルーチンは、厳密にオンデマンドベースでのみ復号化され揮発性メモリにステージングされます。その結果、バイナリの表面的な解剖は無視できるフォレンジックインテリジェンスをもたらします。分析されたサンプルの1つは、命令仮想化を武装化する商用グレードのソフトウェアパッカーを利用してさらに強化されており、元のソースコードを独自の高度に非標準バイトコード構造に変換し、その独自のローカル仮想マシンによってのみ解釈されます。
レガシービルドと対比すると、現代のGremlin Stealerは高度に統合されたモジュール型のエクスプロイテーションフレームワークに進化しました。マルウェアはDiscordセッショントークンを流出させるために設計された専門的なモジュール、クリップボードの状態を絶えず監視し、アクティブな暗号通貨転送中に敵対者が制御する宛先アドレスを動的に置き換えるモジュールを備えています。もう1つの極めて重要な進化は、直接WebSocketチャネルを介したアクティブなブラウザセッションのインターセプションを含みます。ライブブラウザプロセスのメモリ空間から直接データストリームをプルすることにより、プログラムはホストオペレーティングシステムによって実行されるいくつかの最新のクッキー保護メカニズムをきれいに回避します。
ブリーフィングの著者は、Gremlin Stealerが初等的な認証情報ハーベスターとしての歴史的地位を包括的に超えたと推論しています。この現世代は、高度な構造的回避、デジタルアイデンティティ盗難、および直接的な金融操作を巧妙に統合しています。その結果、この脅威はChromiumベースのブラウザを使用し、セッション永続性の境界が長期間のホライズンで保護されていないエンタープライズアプリケーションを展開する環境に対する加速されたリスクをもたらします。
