最も効果的なマルウェアは、技術的な洗練さよりも力技に頼ることがあります。GoFlateLoaderはGo言語で書かれたシンプルなインメモリローダーであり、ファイルサイズを意図的に膨張させることでセキュリティスキャナーを回避します。
高度なアンチデバッグ・アンチVM・サンドボックス回避技術を持たないにもかかわらず、2026年4月以降、33,000人以上のユーザーへの攻撃に成功しています。
このキャンペーンは、ブラジル、インド、アルゼンチン、メキシコ、トルコ、スペインのユーザーに大きな影響を与えています。
GoFlateLoaderはシンプルで線形な実行フローで動作し、ペイロードをすべてメモリ上で再構築するため、ディスクには一切書き込まれません。
エンコードされたペイロードのブロブを.rdataセクションからスタックにコピーし、有効なポータブル実行ファイル(PE)にデコードした後、読み取り・書き込み・実行が可能なメモリ領域を確保します。
ペイロードをマッピングしてインポートアドレステーブルを再構築した後、ローダーはGoのsyscall.Syscall関数を使用してマルウェアの最終ステージを実行します。
このマルウェアはシステムコールを汎用的なコールゲートとして悪用し、ペイロードのエントリーポイントを関数に指定した上で、必要なパラメーターにはダミーの引数を設定します。
これらの引数には常にハードコードされた値1、2、3、4が設定されており、脅威ハンターにとって強力な検知の手がかりとなります。
ローダーの真の回避能力は、ファイル末尾に付加された巨大なPEオーバーレイにあります。ヌルバイトやランダムなパディングでバイナリを埋め込むことで、攻撃者はファイルサイズを700〜950MBに膨張させます。
このように肥大化したサイズは、自動解析パイプラインをクラッシュさせ、クラウドベースのサンドボックスを回避することを狙ったものです。例えば、VirusTotalはアップロードサイズを650MBに厳しく制限しているため、GoFlateLoaderはこのプラットフォームでの検知を容易に逃れられます。また、パディング部分は圧縮効率が非常に高いため、攻撃者は配布時にほとんど帯域幅のコストを負担せずに済みます。
Gen Digitalの調査によると、攻撃者はこれらのペイロードを主に2つの経路で配布しています。クラックソフトウェアの再パッケージと、悪意あるトラフィックダイレクションシステム(TDS)です。
TDSを利用する場合、被害者はダウンロード可能なアーカイブを提供するランディングページにリダイレクトされます。そのページでは、コンテンツを展開するためのパスワードが別途表示されます。
この一手間を加えることで、自動化されたウイルス対策ソフトやEDRソリューションによるアーカイブの復号を防ぎ、ユーザーが手動で展開操作を行うまで、巨大なGoFlateLoaderを隠し続けることができます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご利用ください。
翻訳元: https://cyberpress.org/cracked-software-spreads-goflateloader/
