サイバー犯罪ネットワークで販売されている新しいリモートアクセストロイの木馬(RAT)は、データ盗難とランサムウェアをバンドル化し、認証情報盗難・暗号通貨盗難・ライブ監視、およびその他多くの違法機能を備えており、すべてが一元化ダッシュボードから制御可能です。
BlackFog研究者は2025年11月に、Steaeliteと呼ばれるこのマルウェアを最初に発見しました。「完全に検出不可能」で「最高のWindows RAT」として販売されており、Windows 10およびWindows 11で動作し、Androidモジュールは開発中とのことです。
Steaeliteのオペレータインターフェースは完全にブラウザで実行され、犯罪者がダッシュボードを開く前でさえ、RATは被害者のデータを盗み始めます。
「新しい被害者が接続すると、オペレータが何らかのコマンドを発行する前に、Steaeliteはブラウザに保存されたパスワード、セッションクッキー、アプリケーショントークンを自動的に収集します」とAIベースのセキュリティ企業は述べています。「データ盗難は接続時点で始まります。」
ダッシュボードには、プライマリツールバーと2つの追加セクションが含まれており、プライマリツールバーだけで、リモートコード実行、ファイル管理、ライブストリーミング、ウェブカメラとマイクアクセス、プロセス管理、クリップボード監視、パスワード回復、インストール済みプログラムの列挙、位置情報追跡、任意ファイル実行、URLオープン、DDoS攻撃、およびVB.NETペイロードコンパイルのモジュールが含まれています。
犯罪者がより多くを求めている場合(被害者のファイルをロックして暗号通貨の身代金を要求するなど)、「高度なツール」パネルには、ランサムウェア展開、隠しRDP、Windows Defender無効化および除外管理、永続化インストールの機能が含まれています。
さらに、3番目の「開発者ツール」パネルは、キーロギング、クライアント-被害者チャット、ファイル検索、USB拡散、競合マルウェアを削除するボット削除機能、メッセージボックス配信、壁紙変更、UACバイパス、およびコピー・ペースト操作中に暗号通貨ウォレットアドレスを攻撃者制御のアドレスに置き換えるクリッパーを追加します。
クリッパーは被害者のクリップボードを監視してウォレットアドレスを検出し、ペースト操作が完了する前にそれを攻撃者制御のアドレスに置き換えることで、被害者が気付かないうちに被害者の暗号通貨をクリップボードから攻撃者に静かに転送することができます。
「このリストは複数のフォーラムスレッド全体で一貫してバンプされており、執筆時点で87メッセージがあり、このツールの機能を実演するプロモーションビデオがYouTubeで公開されており、これは従来のフォーラムエコシステム外で買い手に到達しようとする商業的なリモートアクセストロイの木馬の一般的な配布戦術です」とBlackFogは述べた。
この新しいマルウェアは、すべてが1つのRAT内にあるだけでなく、犯罪者が二重脅迫攻撃をより簡単に実行できるようにします。この攻撃では、犯罪者はまずデータを盗み、次に被害者のシステムを暗号化し、盗まれたファイルをリークすると脅迫します。被害者が身代金を支払うことを拒否した場合です。
「以前は、二重脅迫には初期アクセス用のマルウェアと流出に続いて、暗号化用の別のランサムウェアペイロードが必要であり、多くの場合、初期アクセスブローカーとランサムウェアアフィリエイト間の調整が含まれていました」とBlackFogチームは述べています。「Steaeliteは両方を同じインターフェースに統合し、自動認証情報収集により、オペレータがダッシュボードと対話する前でもデータ盗難が発動されます。」
さらに、Androidバージョンがライブになり、計画通りに機能する場合、1つのSteaeliteライセンスが企業のWindowsコンピュータと従業員が認証およびメッセージング用に使用するモバイルデバイスの両方をカバーできる可能性があります。®
