TokyoBlackHatNews

bleepingcomputer.com 5分で読了

CastleLoaderマルウェアキャンペーンの後、LummaStealerの感染が急増

Image

LummaStealerの感染が急増しており、CastleLoaderマルウェアを配信するためにClickFix技術を活用したソーシャルエンジニアリングキャンペーンによって引き起こされています。

LummaStealerは、LummaC2としても知られ、マルウェア・アズ・ア・サービス(MaaS)プラットフォームとして運営されている情報窃取マルウェアです。2025年5月に複数のテクノロジー企業と法執行機関が悪意のあるサービスを支える2,300のドメインと中央指令構造を押収したことで活動が阻害されました。

情報窃取マルウェアは、Webブラウザに保存された認証情報やCookie、暗号通貨ウォレットの詳細、ドキュメントから、セッションCookie、認証トークン、VPN設定、アカウントデータまで、さまざまな機密データを狙います。

法執行作戦によってLummaStealerの活動は大幅に阻害されましたが、このMaaS運営は2025年7月に再開しました。

サイバーセキュリティ企業Bitdefenderの新しいレポートは、LummaStealerの運営が2025年12月から2026年1月の間に大幅に拡大し、現在はCastleLoaderと呼ばれるマルウェアローダーを通じて配信され、ClickFix技術への依存度が高まっていると警告しています。

「これらのキャンペーンの多くの中核にあるのはCastleLoaderであり、LummaStealerが配信チェーンを通じて拡散するのを助ける上で中心的な役割を果たしています。そのモジュール式のメモリ内実行モデル、広範な難読化、柔軟なコマンド&コントロール通信により、この規模のマルウェア配信に適しています」とBitdefenderの研究者は述べています

CastleLoaderは2025年初頭に出現し、ClickFixを含むさまざまな方法で、複数の情報窃取マルウェアやリモートアクセストロイの木馬(Stealc、RedLine、Rhadamanthys、MonsterV2、CastleRAT、SectopRAT、NetSupport RAT、WarmCookie)を配信してきました。

このマルウェアローダーは、高度に難読化されたスクリプトベース(AutoITまたはPython)のマルウェアローダーで、LummaStealerペイロードを完全にメモリ内で復号化、読み込み、実行します。

複数の難読化レイヤーを採用しており、変数と関数の辞書ベースの名前変更、実行時に復号化されるエンコードされた文字列、大量のジャンクコードとデッドブランチ、そして些細な結果に解決される算術演算と論理演算が含まれます。

Image
典型的な感染チェーン
出典: Bitdefender

LummaStealerを実行する前に、CastleLoaderは環境とサンドボックスのチェックを実行して、分析されているかどうかを判断し、ホスト上で検出されたセキュリティ製品に応じてファイルパスと永続化場所を調整します。

永続化は、悪意のあるAutoITスクリプトを永続化パスにコピーし、インタープリタを別の場所にコピーし、スタートアップにインタープリタをスクリプトを引数として起動するインターネットショートカットファイルを作成することで実現されます。

Bitdefenderは、CastleLoaderが意図的に存在しないドメインに対してDNSルックアップを失敗させ、DNS障害を引き起こすことを発見しました。サイバーセキュリティ企業は、このネットワーク動作の痕跡がCastleLoaderの活動を検出するために使用できると述べています。

11月のレポートで、Recorded FutureのInsikt Groupの研究者は、CastleLoaderのインフラストラクチャ上のドメインがLummaStealerのコマンド&コントロール(C2)サーバーとして機能していたことを指摘し、2つの運営の間の初期の接続を示しています。

現在、LummaStealerは、トロイの木馬化されたソフトウェアインストーラー、偽サイトやトレントからダウンロードされた海賊版ソフトウェア、世界中の国々を標的としたキャンペーンにおける偽のメディアやゲームアーカイブなど、複数のチャネルを通じて配信されています。

LummaStealerキャンペーンで標的となった国々
LummaStealerキャンペーンで標的となった国々
出典: Bitdefender

研究者によると、ClickFixは「LummaStealerキャンペーンにおいて非常に効果的な感染ベクター」です。ユーザーは偽のCAPTCHAまたは検証ページを表示され、すでにクリップボードに追加されている悪意のあるPowerShellコマンドを実行するための詳細な指示が表示されます。

このコマンドは最終的に攻撃者のサーバーから悪意のあるスクリプトを取得し、ローカルマシン上で実行します。この方法で配信されたペイロードはCastleLoaderであり、場合によってはLummaStealer情報窃取マルウェアを取得して実行しました。

この脅威から防御するために、Bitdefenderの研究者は、信頼できないまたは非公式のソースからソフトウェアやメディア(特にファイルに.EXE拡張子がある場合)をダウンロードして実行することを避けるようユーザーに推奨しています。

また、ウェブサイトの検証プロセスの一部として、理解していないコマンドをPowerShellまたはコマンドラインユーティリティで実行することは、悪意のある活動の警告サインです。

一般的なアドバイスは、海賊版ソフトウェア(例: クラック、「アンロック済み」ツール)を避け、広告ブロッカーを使用してGoogle検索のプロモートされた結果を非表示にすることです。

翻訳元: https://www.bleepingcomputer.com/news/security/lummastealer-infections-surge-after-castleloader-malware-campaigns/

ソース: bleepingcomputer.com
#CastleLoader #ClickFix #LummaStealer #インフォスティーラー #サイバーセキュリティ #ソーシャルエンジニアリング #マルウェア #マルウェア配布 #ランサムウェア #情報窃取

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用