悪意あるソフトウェアを隠蔽する最も単純な手法は、巧妙なカモフラージュではなく、過剰なデジタルサイズによるものである場合があります。GoFlateLoaderはまさにこの手法を活用しています。これはGolangで実装されたローダーであり、Lumma、Vidar、StealC、Amatera、RemusといったInfostealerを配布するために設計されています。
GoFlateLoaderの仕組み
GoFlateLoaderマルウェアローダーは、技術的な複雑さをほとんど持ちません。アンチデバッグ機構や仮想マシン検知、APIコールの難読化、高度なロジック隠蔽といった機能は一切搭載されていません。その代わり、このローダーはきわめて直接的な動作をします。
まず、.rdataセクションからエンコードされた悪意あるペイロードを抽出します。次に、複数の段階を経てそのペイロードを復号化します。最後に、実行可能なPEファイルを再構築し、システムメモリ上で直接実行します。
巨大なオーバーレイによる回避手法
このローダーの主要な回避手法は、非常に大きなPEオーバーレイの利用です。PEオーバーレイとは、実行ファイルに付加される補足データブロックのことです。攻撃者はヌルバイトや、場合によってはランダムなデータを用いて、サンプルのサイズを700〜950メガバイトにまで意図的に膨らませます。
アーカイブ内では、この巨大なファイルも大幅に圧縮されます。そのため、サイバー犯罪者はきわめて容易に配布できます。一方、セキュリティスキャナーや自動サンドボックスはファイルサイズの上限制限により、深い解析をスキップしてしまうことが多くあります。
配布経路と欺瞞的な手口
Gen Threat Labsの研究者は、この脅威の拡散を海賊版ソフトウェアパッケージと関連付けています。また、Check Point Researchが以前に分析した悪意あるトラフィック配布システム(TDS)とも関連があるとしています。この巧妙なシステムは、パスワードで保護されたアーカイブをホストするウェブページへ被害者をリダイレクトします。
特に重要な点として、当該サイトはアーカイブを解凍するためのパスワードを別途表示しています。その結果、このパスワードを知らない自動スキャナーは、隠されたコンテンツを展開・検証することができません。
異常な実行パターン
実行されると、GoFlateLoaderはメモリ空間内に悪意あるPEファイルを手動でアロケートします。その後、`syscall.Syscall`関数を介して制御を移します。注目すべき点として、1、2、3、4といった架空の引数を使用します。
この非常に特異なパターンは、脅威の迅速な検知において有効な手がかりとなります。膨張したオーバーレイ、.rdataセクションに格納されたエンコード済みペイロード、特徴的な手動PEロードシーケンスといった他の指標と組み合わせることで、とりわけ識別しやすくなります。
世界的な影響と緩和策
2026年4月以降、Gen Threat Labsはこの特定の脅威から33,000人以上のユニークユーザーを保護することに成功しています。また、感染率が最も高かったのはブラジル、インド、アルゼンチン、メキシコ、トルコ、スペインであり、これらの国々が攻撃の標的となっています。
このリスクを効果的に軽減するために、セキュリティ専門家はクラック版ソフトウェアのインストールを厳しく禁止することを推奨しています。また、既知の悪意あるTDSランディングページを積極的にブロックすることも重要です。さらに、サンドボックスを大容量の圧縮ファイルを解析できるよう設定し、ダウンロードページにパスワードが直接表示されているパスワード保護付きアーカイブについても必ず解析するよう構成する必要があります。
翻訳元: https://meterpreter.org/goflateloader-malware-loader/
