大規模な認証情報窃取と隠密リモートアクセスを組み合わせた、機能充実の新たなLucid Stealerビルドが確認されました。
Telegramに関連するアンダーグラウンドチャンネルを通じて配布されているこのサンプルは、単純な圧縮実行ファイルではなく、正規のNode.js Single Executable Application(SEA)内にラップされたLucidブランドの情報窃取ツール兼RATです。
静的解析によって、サンプルを実行することなく埋め込みJavaScriptローダーとコアペイロードの復号に成功しました。これにより、調査結果の信頼性が高まり、攻撃者の能力とインフラの全体像が明らかになっています。
このマルウェアは、約100 MBのWindows x64 Node.js SEA実行ファイルを含む、パスワード保護されたWinZip-AESアーカイブとして配布されます。
そのランタイム内には約8.5 MBの NODE_SEA_BLOB JavaScriptローダーが存在し、ヘルパーバイナリを再構築してディスクに書き込んだ後、第二段階のJavaScriptペイロードを復号・実行します。
復元されたコアは、RC4方式のPRGAとXORパスを組み合わせてコードを保護しています。
アナリストは、ブラウザの認証情報・Cookie窃取、Discordトークンの収集・インジェクション、複数のウォレットを狙うルーティン、キーロギング、スクリーンショット取得、リモートシェルおよびファイルマネージャー機能、DDoSコマンド、そしてHVNCスタイルの隠しデスクトップ制御を担うモジュール型コンポーネントを抽出しました。
コピーされたブラウザデータベースへのクエリに使用されるバンドルSQLite CLI、権限昇格の試みに呼び出されるネイティブ昇格アドオン、隠しVNCおよびリモート画面制御のためのHVNCアドオン、合成入力とスクリーンキャプチャのためのRobotJS、そしてスクリーンショットとストリームのレンダリングのためのcanvas画像モジュールも含まれています。
Foresietの脅威インテリジェンスチームは、Telegramに関連するアンダーグラウンドチャンネルで宣伝された新たなLucid Stealerビルドを発見し、静的解析を実施しました。
SEAラッパーの役割は隠蔽と配送にあり、実際のリスクはステージングされたヘルパー、復号された設定、そしてペイロードの広範なコマンド群にあります。
Lucid Stealerが狙う18のブラウザ
攻撃者の活動とインフラの証拠は、小規模ながら組織化された商業的な運営を示しています。Foresietは、Telegramのアナウンス、ホスト型マルチテナントWebコントロールパネル、そして2026年5月末に一時停止後に急速に再開されたリリースタイムラインを関連付けました。
攻撃者は、防御回避とパフォーマンス向上を目的にNode.jsからJavaへの移行計画を公表しており、積極的なメンテナンスと今後のバリエーション追加が見込まれます。
パネルとチャンネルのスクリーンショットは公開向けに加工されています。埋め込まれた文字列とローダー変数にはLucidブランドの名称(LUCIDPay、_LUCID*など)が含まれており、レポートではこれをコミュニティが命名したファミリー名ではなく、攻撃者による自己識別として扱っています。
防御側の観点からは、Lucid Stealerは完全な侵害イベントとして扱う必要があります。このビルドは18のブラウザ、複数のウォレット形式・拡張機能、4種類のDiscordクライアントバリアントと、幅広いアプリケーションを標的としています。そのため、実行が確認された場合、ブラウザトークン、保存されたパスワード、Discordセッション、ゲームセッション、ウォレットのシードマテリアルが漏洩していると想定しなければなりません。
攻撃者は製品を積極的に開発中であるため、静的ハッシュはこの特定のビルドの識別にしか使用できません。信頼性の高い検知には、行動的なステージングと持続性のパターンを追跡することが求められます。
高価値なシグナルとしては、winupdのような名前の一時的な自己コピー、HKCU Runの持続性エントリ、ユーザープロファイルの.nodeアドオンのステージング、不審なブラウザデータベースへのアクセス、そして復号された設定から回収された特定のアップロード・ログURIシーケンスが挙げられます。
Foresietのブログでは、完全な技術レポートをエグゼクティブサマリー、脅威コンテキスト、技術的調査結果、能力分析、感染フローの詳細、そして実践的な検知・対応ガイダンスを網羅する企業向けの詳細解説形式に再構成しています。
企業は封じ込めを最優先とし、疑わしいホスト上での認証情報および鍵の漏洩を前提とした上で、レポートに記録されているステージング動作とネイティブヘルパーの痕跡を追跡する必要があります。
完全な技術的インジケーター、加工済みスクリーンショット、ハッシュ値、ネットワークインジケーターを必要とするチームは、Foresietの詳細レポートを参照し、変化するファイルハッシュだけに依存するのではなく、行動に焦点を当てた検知ルールを活用してください。
翻訳元: https://gbhackers.com/lucid-stealer-hits-18-browsers/
