TokyoBlackHatNews

gbhackers.com 5分で読了

Node.js LTX Stealer、新たなログイン認証情報の脅威として出現

「LTX Stealer」と呼ばれる新たな高度マルウェアキャンペーンが確認されました。このマルウェアは攻撃者の手法の変化を示しており、正規のソフトウェアフレームワークやクラウドサービスを利用して活動を隠蔽し、機密性の高いユーザーデータを窃取します。

標準的なWindowsプロセスを模倣することで、LTX Stealerは静かに動作するよう設計されており、従来型のアンチウイルスでは検知が困難です。

このマルウェアは、「Inno Setup」で作成された、強く偽装されたインストーラーを通じて配布されます。Inno Setupは、正規の開発者がWindows向けソフトウェアインストーラーを作成するために一般的に使用するツールです。

本キャンペーンで「Negro.exe」として特定された悪性ファイルは、一見すると標準的なアプリケーションに見えます。しかし、特徴的なメタデータタグがLTX Stealerを明示的に参照しており、その正体を示しています。

検知を回避するため、インストーラーには巨大な暗号化アーカイブが含まれています。ファイル内容の約99.9%が暗号化されており、セキュリティツールが内部の悪性コードをスキャンできないようになっています。

CYFIRMAでは、正規のインストーラーとユーザーの信頼に依存し、低ノイズでシステム侵害を成立させる攻撃者の手法を観測しました。 

複数のコンポーネントが注目されました。具体的には、updater.exe、関連するランタイムライブラリを同梱したpython.exe、複数のSQLiteデータベースファイルなどです。

Image
埋め込みペイロード(出典:CYFIRMA)。

被害者がインストーラーを実行すると、管理者権限を要求します。許可されると、updater.exeという名前のペイロードを、Microsoftの更新コンポーネントに見えるよう設計された隠しシステムフォルダーにドロップします。

内部構造:Node.jsと難読化

LTX Stealerの独自性は、その内部アーキテクチャにあります。updater.exeは一般的なウイルスではなく、Node.jsのランタイム環境をバンドルしたものです。

攻撃者はpkgと呼ばれるツールを使用して、ランタイムとともに悪性JavaScriptコードをパッケージ化しています。

さらに見る

マルウェア除去ツール

脆弱性評価ツール

サイバー

LSASSのアクセストークンを複製し、それを現在の実行スレッドに適用することで、コードは一時的にSYSTEMコンテキストで実行されます。

Image
LSASSのなりすましとSYSTEMアクセス(出典:CYFIRMA)。

さらに攻撃者は「Bytenode」コンパイルを用います。悪性コードを可読なJavaScriptのまま残すのではなく、バイトコードにコンパイルします。

この手法は、セキュリティ研究者によるリバースエンジニアリングやマルウェアロジックの解析を意図的に困難にします。

起動すると、LTX Stealerは機微情報を積極的に狙います。主に、Google ChromeなどのChromiumベースのWebブラウザーやMicrosoft Edgeに焦点を当てます。

このマルウェアには、ブラウザー自身の復号処理を模倣するPythonスクリプト(decrypt.py)が含まれています。これにより攻撃者は暗号化保護を回避し、次の情報を抽出できます:

  • 保存されたログイン認証情報(ユーザー名とパスワード)。
  • ブラウザーCookie。
  • アクティブなセッショントークン。

ブラウザーデータに加え、LTX Stealerは暗号資産も特に狙います。感染したコンピューターをスキャンしてウォレットファイルや、ブラウザーベースの暗号資産拡張機能のデータを探し出し、流出(持ち出し)用にすべてをアーカイブにまとめます。

インフラとビジネスモデル

このマルウェアのバックエンドインフラは、正規のクラウドサービスに依存しており、通常のネットワークトラフィックに紛れ込むようになっています。

マルウェアはドメインapi.eqp.lolを解決し、次のIPアドレスを返しました:

  • 172.67.153.236
  • 104.21.12.237
Image
追加調査により、別のIPアドレス(69[.]164.242.27)でホストされる追加のパネルサーバーが特定されました(出典:CYFIRMA)。

認証とデータベース管理にはSupabaseを使用し、CloudflareによってC2(コマンド&コントロール)サーバーの所在地を隠しています。

CYFIRMAの分析では、LTX Stealerは「Stealer-as-a-Service」(SaaS)として運用されていることが示唆されています。

さらに見る

セキュリティ監査サービス

情報セキュリティ

エシカルハッキングの書籍

このマルウェアは、公的なチャネルで週10ドル、または月25ドルという低価格で宣伝されています。初期サンプルや価格体系が同地域での活動と一致することから、開発者はブラジル拠点である可能性が高いことを示す証拠があります。

この低コストでスケーラブルなモデルは、LTX Stealerが標的型スパイ活動ではなく、広範で無差別な攻撃を目的として設計されていることを示しています。

侵害の指標(IOC)

指標 種類 備考
eqp[.]lol ドメイン パネル
69[.]164.242.27 ドメイン パネル
ca9798f6bb9ad81dc20f8dee10c19368a44f3e48d71fa823b9c6f3b6473ca518 SHA256 Updater.exe(ドロップされたNode.jsベースのパッケージ化スティーラー)

112d731bbfd7379cdf3263cbba39a170c235d616c26b803f3afe6b014f4748a1		 SHA256 Negro.exe(セットアップファイル)

翻訳元: https://gbhackers.com/node-js-ltx-stealer/

ソース: gbhackers.com
#Chromiumブラウザ(Chrome/Edge) #Inno Setup悪用 #LSASSなりすまし #LTX Stealer #Node.jsマルウェア #Stealer-as-a-Service(SaaS) #情報窃取型マルウェア(Stealer) #暗号資産ウォレット窃取 #認証情報窃取 #難読化・バイトコード(Bytenode)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚