TokyoBlackHatNews

cyberpress.org 4分で読了

GoFlateLoaderマルウェア、Lumma・Vidar・StealCなどのペイロードを投下

脅威アクターたちは、マルウェアが高度に洗練されていなくても絶大な効果を発揮できることを証明し続けています。GoFlateLoaderマルウェアは、こうした傾向を端的に示す好例です。

Go言語で書かれたこのシンプルなローダーの目的はただ一つ、悪意あるペイロードをコンピュータのメモリ上で直接デコードして実行することです。

2026年4月以降、セキュリティ研究者はこの現役の脅威を世界中の3万3,000人以上のユニークユーザーに対してブロックしてきました。このキャンペーンはブラジル、インド、アルゼンチン、メキシコ、トルコ、スペインなどの国々に大きな影響を与えています。

複雑なアンチデバッグやサンドボックス回避技術を駆使する高度なマルウェアとは異なり、GoFlateLoaderにはAPIハッシングやコントロールフローの難読化が備わっていません。

その代わりに、驚くほどシンプルでありながら非常に効果的なトリックを用いて身を隠します。このローダーは巨大なPortable Executable(PE)オーバーレイをファイルの末尾に付加します。これによってバイナリのサイズを人為的に700〜950メガバイトにまで膨張させます。

この意図的な設計は、現代のセキュリティツールが抱えるパフォーマンス上の制約を正面から突いています。アンチウイルスソフトやエンドポイント検出・応答(EDR)ソリューションは、システムパフォーマンスを維持するため、ディープスキャンやエミュレーションに対して実質的なファイルサイズの上限を設けていることが多いためです。

自動スキャンパイプラインも、帯域幅やストレージコストを管理するために厳格なアップロード制限を設けています。例えば、人気の脅威インテリジェンスプラットフォームであるVirusTotalは、ファイルのアップロードを650メガバイトに制限しています。

ファイルサイズを意図的にこのしきい値以上に保つことで、GoFlateLoaderはクラウドベースのサンドボックスによる検査を巧みに回避します。攻撃者はこの巨大なオーバーレイをnullバイトやランダムなパディングで埋めています。

人為的に膨張させたこのデータはZIPアーカイブ内で非常に高い圧縮率を示すため、サイバー犯罪者はマルウェアをインターネット上に配布する際にほとんど追加の帯域コストを負担せずに済みます。

被害者がファイルを実行すると、GoFlateLoaderは短くシンプルな実行パスをたどります。最終的なペイロードをシステムメモリ上で完全に再構築することで、悪意あるコードが物理的なハードドライブに書き込まれることはありません。

このマルウェアはエンコードされたペイロードをデータセクションからコピーし、有効な形式にデコードして新しいメモリ領域を確保します。

ファイルをマッピングして必要なインポートを解決した後、実行は隠されたペイロードへと引き渡されると、gendigitalは報告しています

興味深いことに、このローダーはsyscallと呼ばれる特定の関数を悪用しています。syscallはペイロードを起動するための汎用的なコールゲートであり、引数としてハードコードされたフィラー値、具体的には1、2、3、4が渡されます。

最終的なペイロードはこれらの数値を使用しませんが、防御側がローダーの活動を検出するために利用できる、ユニークで識別しやすいパターンを提供しています。

また、このマルウェアはビルドごとに変化する大量のデコイコードを持ち、静的解析を困難にしています。

攻撃者はGoFlateLoaderを主に情報窃取型マルウェアの配布に利用しており、Amatera、Remus、Lumma、Vidar、StealC、SvitStealerなどが確認されています。

脅威アクターはこのローダーを2つの主要なチャネルを通じて配布しています。1つ目の手法は、被害者をだましてクラックされたとされるソフトウェアをダウンロードさせるものです。

2つ目の手法は、悪意あるトラフィック誘導システム(TDS)を使って被害者を偽のランディングページにリダイレクトするものです。このページではダウンロード可能なアーカイブが提供され、解凍パスワードが別途表示されます。

この手法により、自動化されたセキュリティソリューションがコンテンツを復号してスキャンすることを防ぎ、被害者が手動で解凍するまでペイロードを隠し続けます。

注記: IPアドレスおよびドメインは、誤って名前解決やハイパーリンクが行われることを防ぐため、意図的に無害化(例:[.])されています。再有効化はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/goflateloader-drops-infostealer-payloads/

ソース: cyberpress.org
#EDR回避 #GoFlateLoader #Lumma Stealer #StealC #Vidar #サンドボックス回避 #ファイルパディング #マルウェアローダー #メモリ実行 #情報窃取型マルウェア

関連記事

GitHubがnpm v12でスクリプトの自動インストールを無効化、攻撃対策を強化

SniperDz PhaaS を悪用したブランドなりすまし攻撃

OceanLotusがFireAnt MetaKitサプライチェーン攻撃で株式投資家を標的に