サイバーセキュリティ研究者は、以前は文書化されていなかったRustベースの情報スティーラーであるMyth Stealerについて明らかにしました。このマルウェアは偽のゲームサイトを通じて広まっています。
「実行時に、マルウェアは正当であるかのように見せかけるために偽のウィンドウを表示し、同時にバックグラウンドで悪意のあるコードを復号化して実行します」とTrellixのセキュリティ研究者であるNiranjan Hegde、Vasantha Lakshmanan Ambasankar、およびAdarsh Sは分析で述べました。
このスティーラーは、2024年12月末にベータ版としてTelegramで無料で販売されていましたが、その後、マルウェア・アズ・ア・サービス(MaaS)モデルに移行しました。Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi、Mozilla FirefoxなどのChromiumおよびGeckoベースのブラウザからパスワード、クッキー、自動入力情報を盗むことができます。
このマルウェアの運営者は、Telegramチャンネルをいくつか維持し、侵害されたアカウントの販売を宣伝し、サービスの証言を提供していました。これらのチャンネルはTelegramによって閉鎖されました。
証拠によると、Myth Stealerは偽のウェブサイトを通じて配布されており、その中にはGoogleのBloggerにホストされているものもあり、さまざまなビデオゲームをテストするという名目で提供されています。Flashpointが2025年4月に公開したように、ほぼ同一のBloggerページがAgeoStealerとして知られる別のスティーラーマルウェアを配信するために使用されていました。
Trellixはまた、オンラインフォーラムでDDraceというゲームチートソフトウェアのクラック版としてマルウェアが配布されていることを発見し、さまざまな配布手段を強調しました。
初期アクセスベクターに関係なく、ダウンロードされたローダーはユーザーに正当なアプリケーションが実行されていると思わせるために偽のセットアップウィンドウを表示します。バックグラウンドで、ローダーはスティーラーコンポーネントを復号化して起動します。
64ビットDLLファイルでは、スティーラーはデータを盗む前にさまざまなウェブブラウザに関連する実行中のプロセスを終了させようとし、リモートサーバー、または場合によってはDiscordのWebhookに送信します。
「また、文字列の難読化やファイル名やユーザー名を使用したシステムチェックなどの解析回避技術が含まれています」と研究者は述べました。「マルウェアの作者は、AV検出を回避するためにスティーラーコードを定期的に更新し、スクリーンキャプチャ機能やクリップボードのハイジャックなどの追加機能を導入しています。」
Myth Stealerは、マルウェアを配布するためにゲームチートを利用する唯一のものではありません。先週、Palo Alto Networks Unit 42は、Blitzと呼ばれる別のWindowsマルウェアについて明らかにしました。これは、バックドア付きのゲームチートや正当なプログラムのクラックインストーラーを通じて拡散されています。
主に攻撃者が管理するTelegramチャンネルを通じて広まるBlitzは、2つのステージから成り立っています。ボットペイロードを担当するダウンローダーで、キーストロークを記録し、スクリーンショットを撮り、ファイルをダウンロード/アップロードし、コードを注入するように設計されています。また、ウェブサーバーに対するサービス拒否(DoS)機能を備え、XMRigマイナーをドロップします。
バックドア付きのチートは、マルウェアの次のステージを取得する前にサンドボックス回避チェックを実行し、被害者がログアウトまたは再起動後に再ログインしたときにのみダウンローダーが実行されます。ダウンローダーは、ボットペイロードをドロップする前に同じサンドボックス回避チェックを実行するように設定されています。
攻撃チェーンで注目すべき点は、BlitzボットとXMR暗号通貨マイナーペイロード、およびそのコマンド・アンド・コントロール(C2)インフラストラクチャのコンポーネントがHugging Face Spaceにホストされていることです。Hugging Faceは責任ある開示に続いてユーザーアカウントをロックしました。
2025年4月末時点で、Blitzは26か国で289件の感染が確認されており、ロシア、ウクライナ、ベラルーシ、カザフスタンが主な感染国です。先月、Blitzの背後にいる脅威アクターは、チートにトロイの木馬が埋め込まれていることを発見した後、Telegramチャンネルで活動を終了すると発表しました。彼らはまた、被害者のシステムからマルウェアを削除するための削除ツールを提供しました。
「Blitzマルウェアの背後にいる人物は、ソーシャルメディアプラットフォームでsw1zzxという名前を使用するロシア語話者のようです」とUnit 42は述べました。「このマルウェアオペレーターはBlitzの開発者である可能性が高いです。」
この開発は、CYFIRMAが詳細に報告した新しいC#ベースのリモートアクセス型トロイの木馬(RAT)であるDuplexSpy RATの登場とともに進行しています。これは監視、持続性、システム制御のための広範な機能を備えています。2025年4月にGitHubで公開され、「教育および倫理的なデモンストレーションのためのみ」と主張されています。
 |
|
Blitz感染チェーン |
「スタートアップフォルダの複製とWindowsレジストリの変更を通じて持続性を確立し、ファイルレス実行と特権昇格技術を使用してステルス性を高めています」と会社は述べました。「主な機能には、キーロギング、スクリーンキャプチャ、ウェブカメラ/オーディオスパイ、リモートシェル、および解析回避機能が含まれています。」
被害者のマシンでオーディオやシステム音をリモートで再生する能力を備えているだけでなく、DuplexSpy RATは、攻撃者が侵害されたホストでシステムレベルのコマンドをリモートで実行できるようにする電源制御モジュールを組み込んでいます。これには、シャットダウン、再起動、ログアウト、スリープなどがあります。
「[マルウェアは]攻撃者が提供した画像(Base64エンコード)を全画面で表示し、ユーザーの操作を無効にすることで偽のロックスクリーンを強制します」とCYFIRMAは追加しました。「明示的に許可されない限り閉じることができず、システムのフリーズや身代金通知をシミュレートして被害者を操作または恐喝します。」
この発見は、Positive Technologiesの報告に続くもので、複数の脅威アクター、TA558、Blind Eagle、Aggah(別名Hagga)、PhaseShifters(別名Angry Likho、Sticky Werewolf、UAC-0050)、UAC-0050、およびPhantomControlを含むが、Crypters And Toolsと呼ばれるクライプター・アズ・ア・サービスを使用してファイルを難読化していることを示しています。
Crypters And Toolsを使用した攻撃チェーンは、アメリカ合衆国、東ヨーロッパ(ロシアを含む)、およびラテンアメリカを標的にしています。クライプターが販売されているプラットフォームの1つはnitrosoftwares[.]comで、ここではエクスプロイト、クライプター、ロガー、暗号通貨クリッパーなどのさまざまなツールも提供されています。
翻訳元: https://thehackernews.com/2025/06/rust-based-myth-stealer-malware-spread.html