標準的なマルウェア手法に、異例なほど高度な機能を組み合わせた新種のインフォスティーラーが検出されました。
このマルウェアは2025年4月にRedditユーザーによって最初に指摘され、「Chihuahua Stealer」として知られています。G Data CyberDefenseが分析を行い、その結果を5月13日付のレポートで共有しました。
表面上は洗練されていないように見える一方で、この.NET製インフォスティーラーは、ステルス性の高いロード、スケジュールタスクによる永続化、複数段階のペイロードなど、高度な手法を採用しています。
多段階PowerShellスクリプトによる感染
4月9日、r/antivirusサブレディットのユーザーが、Google Driveのドキュメントから難読化されたPowerShellスクリプトを実行するよう騙された経緯を共有しました。
調査の結果、G Data CyberDefenseは、PowerShellベースのローダーが、Base64エンコード、16進文字列の難読化、スケジュールジョブを活用して永続性を維持する、複雑な多段階実行チェーンを起動することを突き止めました。
このローダーはモジュール式かつステルス性を重視して設計されており、必要に応じてフォールバックのコマンド&コントロール(C2)ドメインから追加のペイロードを取得します。
多段階チェーンは以下の手順で構成されます:
- 軽量なランチャーが、iexを介してBase64エンコードされたPowerShell文字列を実行し、実行ポリシーを回避するとともに、静的解析やシグネチャベース検知からペイロードを隠蔽する
- ランチャーが、区切り文字を除去して16進数をASCIIに変換することで、強く難読化された16進ペイロードをデコードして再構成し、静的解析やサンドボックス解析を回避するために次段階スクリプトを動的に組み立てる
- スクリプトが、感染マーカー(「*.normaldaki」ファイル)をスキャンするジョブをスケジュールして永続化を確立し、マーカーが存在する場合は、受信したコマンドに基づいて追加ペイロードを取得・実行するため、プライマリ(およびフォールバック)のC2サーバーに接続する
- 永続ジョブがリモートドメインから.NETアセンブリを取得し、OneDriveからBase64で難読化されたペイロード(Chihuahua Stealer)を読み込み、リフレクションを介してメモリ上で実行した後、目に見える痕跡(コンソールとクリップボード)を消去する
Chihuahua Stealerの実行、暗号化、データ流出
このスティーラーはDedMaxim()関数で実行を開始し、ロシア語ラップの歌詞をローマ字転写したものを、各行の間に短い間隔を置きながらコンソールに表示します。G Dataの研究者は、機能的な目的はないものの、これがシグネチャ(特徴)である可能性が高いとみています。
歌詞を表示した後、スティーラーはPopilLina()関数で主要ロジックを実行します。ここでWindows Management Instrumentation (WMI)を介してマシン名とディスクのシリアル番号を収集し、それらを難読化してハッシュ化することで、感染システム固有の識別子を生成します。この識別子は、流出させるデータを格納するアーカイブおよびフォルダーの命名に使用されます。
固有の被害者IDを生成し、ステージング用ディレクトリを準備した後、マルウェアはユーザーディレクトリ内のブラウザおよび暗号資産ウォレットのファイルを検索してデータ抽出を開始します。
%USERPROFILE%プレースホルダーを含む動的パスをスキャンしてインストール済みブラウザを検出する関数を利用し、続いて別の関数で、検出された各ブラウザから認証情報、Cookie、自動入力データ、閲覧履歴、セッション、支払い情報を体系的に抽出します。
さらに、既知のウォレット拡張機能IDに紐づくフォルダーを特定してデータをコピーすることで、暗号資産ウォレット拡張機能も標的にします。
ブラウザデータと暗号資産ウォレット拡張機能のファイルを抽出した後、マルウェアは盗んだ情報を暗号化と流出の準備にかけます。作業ディレクトリにBrutan.txtという平文ファイルを作成し、盗んだデータ一式を「.chihuahua」アーカイブに圧縮します。その直後、アーカイブはAES-GCMで暗号化されます。
盗難データが「.VZ」ファイルとして圧縮・暗号化されると、マルウェアはリトライループを用いて外部サーバーへの流出を試みます。
実際の流出処理はVseLegalno()で行われます。この関数はWebClientインスタンスを作成し、バイナリファイルのアップロードを装うヘッダーを設定したうえで、「.VZ」暗号化ファイルをhxxps://flowers[.]hold-me-finger[.]xyz/index2[.]phpへアップロードします。
最後に、スティーラーは標準的なファイルおよびディレクトリ削除コマンドを用いて、ディスク上から活動の痕跡をすべて消去します。
G Dataの緩和策に関する推奨事項
G Data CyberDefenseは、Chihuahua Stealerの脅威を緩和するための推奨事項リストを提示しました:
- 不審または難読化されたコマンドを伴う、頻繁なスケジュール済みPowerShellジョブをアラート対象とする
- RecentやTempなどのディレクトリにある、異常なファイル拡張子やマーカーファイルを探索する
- PowerShellログにおいて、Base64デコードと.NETリフレクション(例:Assembly::Load())の組み合わせを検知する
- Windows CNG API経由の一般的でないAES-GCM使用を、特に外向きHTTPSトラフィックと結び付く場合にフラグ付けする
翻訳元: https://www.infosecurity-magazine.com/news/chihuahua-stealer-browser-crypto/
