脅威アクターは常にマルウェアをアップグレードして検出を回避しており、Gremlin stealerの最新バリアントは大幅な高度化を示しています。
このマルウェアは現在、元のコードをカスタムバイトコードに変換する商用パッキングユーティリティを使用しており、非常に回避的です。
盗まれたデータは、被害者のパブリックIPアドレスにちなんで名付けられたZIPアーカイブにバンドルされ、攻撃者が管理するサーバに送信されます。
最近、脅威インテリジェンスがhxxp[:]194.87.92[:]109の新しい流出サイトを特定しました。このサイトはVirusTotalのようなセキュリティプラットフォームで最初は検出されませんでした。
静的分析ツールによる検出を回避するため、マルウェアの作者はGremlinの悪意あるペイロードを.NETリソースセクションに直接移動させました。
シングルバイトXORエンコーディングルーチンでペイロードをマスクすることにより、リソースセクションは不透明なデータブロックとして表示されます。
これにより、ハードコードされたコマンド・アンド・コントロール(C2)URLと流出パスは、実行時に復号化されるまで正常に隠されます。
ペイロードを隠すことを超えて、このバリアントはセキュリティ研究者を困らせるためのいくつかの巧妙なアンチ分析テクニックを採用しています。
作者は識別子の名前変更を使用して、すべての意味のあるコンテキストを削除し、明確なメソッド名をランダムな短い文字列に置き換えます。
彼らはまた文字列暗号化を実装しており、秘密のデコーダーリングのように機能します。読み可能な文字列は暗号化された数字として保存され、プログラムが必要な場合にのみ復号化されます。
最後に、制御フロー難読化は無駄なコードパスの迷路を作成し、デコンパイラ出力に複雑で無意味なステートメントを詰め込み、真の実行フローを隠します。
これらのステージドローディングメカニズムのため、重要な機能は必要な場合にのみメモリに復号化およびマップされます。
Gremlin stealerは基本的な認証情報ハーベスタから、積極的な経済的干渉が可能な高度にモジュール化されたツールキットに変換されました。
最新バージョンには専用のDiscordトークン抽出モジュールが含まれており、デジタルアイデンティティと通信プラットフォームをターゲットするシフトを示唆しています、とPaloaltoネットワークスは述べています。
さらに懸念すべきことに、マルウェアはシステムクリップボードを絶えず監視するリアルタイム暗号クリッパーを特徴としています。
暗号通貨ウォレットパターンを検出すると、被害者のアドレスを攻撃者のアドレスに即座に置き換え、ライブトランザクション中に資金を転用します。
翻訳元: https://cyberpress.org/gremlin-hides-exfiltration-paths/