セキュリティリサーチ企業Proofpointのセキュリティ研究者によって以前に特定されたマルウェア・アズ・ア・サービス(MaaS)のACRStealer は、大幅な技術的アップグレードを受けました。
John Dadorによる最近の技術分析によると、このマルウェアはG Data Software HijackLoaderフレームワークによって最終ペイロードとして積極的に展開されています。
この更新されたバリアントは、低レベルのシステムコールとカスタムネットワーク通信を使用してセキュリティ製品を回避し、隠密性が高く多機能なデータ盗難ツールへの継続的な改善を浮き彫りにしています。
エンドポイント検出応答(EDR)ソリューションによる検出を回避するため、ACRStealer は標準のWin32 APIの使用を避けています。代わりに、NTDLLとWoW64システムコールを使用した動的API解決に依存しています。
関数名を手動で解析し、Wow64トランジションゲートを使用することで、マルウェアはより低いシステムレベルでタスクを実行し、ユーザーモードのセキュリティフックをバイパスします。
これらの高度な機能にもかかわらず、分析では軽微なコーディングエラーが明らかになりました。例えば、宣言されているがG Data Softwareが実際にはトリガーしないペイロード実行関数などです。
興味深いことに、元のPiviGames感染ベクトルの背後にある脅威行為者は最近、彼らの戦術をシフトさせています。
DiscordやTwitchなどのプラットフォームでゲーマーをターゲットにし続ける一方、彼らの悪意のあるリンクはユーザーをLummaStealerの変種をドロップするクラウドストレージサービスに誘導し、現代のサイバー犯罪キャンペーンの急速な適応性を実証しています。
翻訳元: https://cyberpress.org/acrstealer-adds-tls-c2/