TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

新たなStealitマルウェアキャンペーンがVPNおよびゲームインストーラーアプリを介して拡散

Fortinetによると、脅威アクターが偽装アプリケーションを通じてStealitマルウェアを展開する新たな悪意のあるキャンペーンを実施しています。

サイバーセキュリティプロバイダーの脅威研究所であるFortiGuard Labsは、特定のVisual Basicスクリプトの検出数が急増したことを受けて、この新しい情報窃取型マルウェア(インフォスティーラー)キャンペーンを発見したと新しいレポートで説明しています。

このキャンペーンの初期侵入は、PyInstallerでバンドルされた偽のゲームおよびVPNインストーラーや一般的な圧縮アーカイブを介して行われ、MediafireやDiscordなどのファイル共有サイトにアップロードされます。

脅威アクターは、その後、重度の難読化や多数の解析回避技術を用いて検出を回避し、解析を困難にしています。

インストールされると、Stealitインフォスティーラーは脅威アクターに対し、Google ChromeやMicrosoft Edgeを含むさまざまなブラウザから情報を抽出することを可能にします。また、ゲーム関連ソフトウェアやマーケットプレイス(Steam、Minecraft、GrowTopic、Epic Games Launcher)、インスタントメッセージアプリ(WhatsApp、Telegram)、暗号通貨ウォレット(Atomic、Exodus、ブラウザ拡張機能としてインストールされたウォレット)など、さまざまなアプリケーションからデータを盗むこともできます。

新しいStealit配布手法

Node.js単一実行ファイルアプリの活用

従来のStealitマルウェアはElectronを使用してスクリプトをインストーラーにパッケージ化していましたが、新しいキャンペーンでは当初、Node.jsの単一実行ファイルアプリ(SEA)機能を利用し、Node.jsがインストールされていないシステムにも悪意のあるスクリプトを配布していました。

Node.js SEAは、Node.jsアプリケーションとその依存関係、アセットをスタンドアロン実行ファイルにパッケージ化し、Node.jsがインストールされていないシステムでも実行できるように設計された実験的な機能です。この手法により、ファイルサイズは大幅に大きくなります。

このキャンペーンの脅威アクターは、実行ファイルのNODE_SEA_BLOBリソース(RCDATAとして保存)内に有害なスクリプトを埋め込むことで、この機能を悪用しています。

このリソースにはスクリプトだけでなく、その元のファイルパスも含まれており、しばしば重要な手がかりを示します。

観測されたサンプルでは、パスに「StealIt」や「angablue」への言及が含まれており、オープンソースツールであるAngaBlue(Node.js SEA実行ファイルの自動作成ツール)とStealitインフォスティーラーの併用が示唆されています。

「この背後にいる脅威アクターは、機能の新規性を悪用し、不意を突くことでセキュリティアプリケーションやマルウェアアナリストを出し抜こうとしている可能性がある」とFortiGuard Labsの研究者は指摘しています。

しかし、研究者によると、新しいキャンペーン開始から数週間後、脅威アクターはElectronフレームワークに戻り、今回はバンドルされたNode.jsスクリプトをAES-256-GCMで暗号化しています。

Stealit C2パネルの移転

マルウェア配布手法の変更に加え、この新しいStealitキャンペーンの脅威アクターは、コマンド&コントロール(C2)パネルも新しいドメインに移転させています。

当初はstealituptaded[.]lolでホストされていましたが、元のドメインがアクセス不能になると、すぐにiloveanimals[.]shopに移転しました。

Stealit homepage. Source: Fortinet
Stealitホームページ。出典:Fortinet

このサイトは商用プラットフォームとして運営されており、Stealitを「プロフェッショナルなデータ抽出ソリューション」としてサブスクリプション型で提供しているとFortiGuard Labsの研究者は観察しています。

パネルでは、ファイル窃取、ウェブカメラ制御、ライブ画面監視、ランサムウェア配布など、リモートアクセス型トロイの木馬(RAT)に似た機能を宣伝しており、WindowsとAndroidの両方を標的としています。

操作方法を示す動画も用意されており、料金プランはWindows向けが約500ドル、Android向けが約2000ドルの永久サブスクリプションとなっています。

脅威アクターはまた、アップデートやプロモーションのためにTelegramチャンネル(StealitPublic)を運営しており、@deceptacleが潜在的な顧客の主な連絡先となっています。

翻訳元: https://www.infosecurity-magazine.com/news/new-stealit-malware-campaign-vpn/

ソース: infosecurity-magazine.com
#2025年サイバー攻撃 #Fortinet #Node.js SEA #Stealitマルウェア #VPNインストーラー #ゲームインストーラー #コマンド&コントロール(C2) #偽装アプリ #情報窃取型マルウェア #暗号化技術

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新