ダークウェブフォーラムで販売されている新たなリモートアクセス型トロイの木馬(RAT)が、仮想通貨を根こそぎ奪うことを目的として設計されています。被害者のログイン済みセッションを乗っ取ることで、パスワードや多要素認証をすり抜けます。
SilabRATと名付けられたこのマルウェアは、Group-IBが公開した新たな分析レポートで詳細が明らかになりました。2025年末からMaaS(マルウェア・アズ・ア・サービス)として月額5,000ドルで宣伝されていたことが確認されています。
開発者はo1oo1として知られるロシア語話者の脅威アクターで、AsmCryptというコード難読化ツールも販売しており、両方を購入すると割引が受けられます。
購入者は独自にキャンペーンを展開し、スパムメールやClickFixルアーを通じてSilabRATを拡散させることが多いです。ウイルス対策ツールはペイロード本体ではなくHijackLoaderパッカーとして検出するケースが多く、あるオペレーターは1か月間のキャンペーンで感染端末の90%以上がオンライン状態を維持していたと主張しています。
セッション窃取型マルウェア関連記事:新たな情報窃取型マルウェア「Storm」、盗んだ認証情報をリモートで復号
隠密制御とブラウザプロファイルの複製
SilabRATには他のマルウェアと一線を画す2つの機能があります。一つ目は、隠蔽型仮想ネットワークコンピューティング(HVNC)ソリューションです。ウィンドウやカーソルの動きを一切表示せずに感染端末を操作できます。活動が被害者自身のデバイスとIPアドレスから行われるため、セキュリティツールは正規のセッションとして扱うことが多いです。
二つ目はブラウザプロファイルの複製機能で、単なるCookieの窃取にとどまりません。現代のウェブサイトはセッションをデバイスのフィンガープリントやIPアドレスに紐付けているため、SilabRATは拡張機能やストレージ、フィンガープリント情報を含むブラウザプロファイル全体を攻撃者のシステムにコピーし、セッションをそのまま復元します。
この2つの機能は連携して動作します。バンドルされたDLL「Target.dll」が低レベルのファイル呼び出しをフックすることで、ブラウザが複製されたプロファイルを開きます。こうして隠蔽セッションが被害者のライブデータ上で動作する一方、実際のデスクトップ画面には何も変化が現れません。
仮想通貨ウォレットを空にする設計
最終的な目的は仮想通貨の窃取です。バックグラウンドモジュールが常時稼働し、新規感染端末上のウォレットを探索して、被害者のブラウザから盗んだ認証情報を使ってパスワードの解析を試みます。対応ウォレットのリストが内蔵されており、順番に処理されます。
ブラウザの機密情報にアクセスするため、SilabRATはCOMの権限昇格テクニックを使ってChromeのApp-Bound Encryptionを回避します。また、クリップボードクリッパー機能により、取引中にコピーされたウォレットアドレスを攻撃者のアドレスにすり替えることもできます。
これらの機能に加え、一般的なRATが備える標準的なツールキットも搭載しています。
-
キーストローク記録とクリップボード監視
-
TightVNCによるリモートデスクトップアクセス
-
LockBitやBlackMatterでも使用されるユーザーアカウント制御(UAC)バイパス
-
レジストリキーやスケジュールタスクによる永続化
Group-IBは、開発者がLedger LiveやTrezor SuiteなどのElectronベースのウォレットアプリへのコードインジェクションを計画していると表明していることから、今後は仮想通貨への攻撃がさらに強化されると予測しています。
この脅威に対抗するため、同社はMFA(多要素認証)の徹底、Chromeへの最新パッチ適用、フィッシング対策とウェブフィルタリングの強化を防御側に呼びかけています。セッションを乗っ取られた場合はパスワードによる保護も突破される恐れがあると、改めて警鐘を鳴らしています。
翻訳元: https://www.infosecurity-magazine.com/news/silabrat-trojan-session-hijacking/
