ハッカーたちは、Remusと呼ばれる新しい64ビットのinfostealerを展開しています。このコードは、2025年に法執行機関による破壊と悪名高いLumma Stealerの中核的な運営者の公開的な個人情報暴露のわずか数ヶ月後に到着した、Lumma Stealerの直接の後継者であることを強く示唆しています。
Remusは、ブラウザのパスワード、クッキー、自動入力データ、暗号資産ウォレット、およびその他の認証情報を収集して再販売または後続の攻撃に利用するという、Lummaの中核的な方法論を反映した64ビット情報stealerです。
Lummaの元の32ビットビルドとは異なり、Remusはネイティブなx64ペイロードとして配信され、最新のWindows環境との互換性を向上させますが、一部のレガシー分析ワークフローの有効性を低下させます。
Gen Threat Labsは最初に2026年2月初旬にRemusキャンペーンを観察し、2025年9月に埋め込まれた「testbuild」マーカーと内部の「# TENZOR LOG」/「# REMUS LOG」文字列を含むプロトタイプ「Tenzor」テストビルドが現れた直後のことでした。
Lummaとの強力なコードオーバーラップ
リバースエンジニアリングは、RemusとLummaが偶然である可能性が低い、非常に特殊な実装の詳細を共有していることを示しています。
両つのファミリーは、同じスタックベースの文字列暗号化とMBAスタイルの難読化を使用しており、これには復号化ループ前の異常なマルチバイトnopパディングが含まれており、通常のコンパイラ出力と一致しません。
分析者はまた、Lumma、Tenzorテストビルド、およびRemus全体で100以上の同一またはセマンティック的に同等の復号化文字列を発見し、TenzorはレガシーのLumma文字列を保存しながらRemus固有のアーティファクトを導入するブリッジとして機能しています。
最も説得力のあるリンクの1つは、Tenzorサンプルで暗号化された文字列として回復された同一のSteamの「dead drop」プロファイルURLであり、複数の過去のLummaバイナリと一致しています。
Remusは、Lummaの直接syscallへのアプローチも継承しています。実行時に、ntdllエクスポートをウォークし、ハッシュ対syscall番号テーブルを構築し、Windows APIレイヤーの代わりに、すべての機密操作を中央syscallディスパッチャーを経由してルーティングします。
共有ヒープラッパー、クリップボード盗聴ルーチン、セクションレイアウト、および.rdataのChaCha20暗号化C2ブロブは、共通のコードベースをさらに強化しています。
RemusをLummaに結びつける最も明確なフィンガープリントは、Chromiumのv20マスターキーを抽出するために使用される、稀なApplication-Bound Encryption(ABE)バイパスです。
ドキュメント化された復号化インターフェースを呼び出す代わりに、両つのファミリーはコンパクトなシェルコードスタブをブラウザプロセスに注入し、インメモリのABE保護キーを見つけ、ブラウザコンテキスト内からCRYPTPROTECTMEMORY_SAME_PROCESSフラグを使用してCryptUnprotectMemoryを呼び出します。
正しい構造を見つけるために、Remusはブラウザのモジュールリストをウォークし、ハッシュ化されたエクスポートを介してdpapi.dll内のCryptUnprotectMemoryを解決し、ブラウザDLL(たとえばchrome.dll)でLEAベースのオペコードパターンをスキャンして、保護されたキーが存在するos_crypt_async::Encryptor vtableに導きます。
vtableアドレスが導出されると、RemusはNtQueryVirtualMemoryおよびNtReadVirtualMemoryを使用して読み取り可能なメモリ領域を列挙し、オブジェクトインスタンスを見つけるまで、保護されたキーを割り当てられたバッファにコピーして、注入されたシェルコードを介して復号化します。
両つのstealersは、ABEバイパスの代替手段としてSYSTEMトークン偽装にフォールバックしますが、このインジェクションベースのテクニックは、公開報告ではLummaおよび現在のRemusに固有のままです。
新しい回避とEtherHiding C2
Remusが革新するのはインフラストラクチャと回避です。以前のLummaバリアントは、C2インフラストラクチャを「dead drop」リゾルバーとして機能するSteamプロファイルおよびTelegramチャネルを通じて解決し、C2 URLsはROT-15などの単純なスキームを介して難読化されました。
Lummaは、ほぼ同じロジックで同じアイデアを実装していますが、異なるワイルドカードスキーム(「B9%????4rnO/@NQe?Nx*」という特徴的なパターン)と若干大きなシェルコードを使用しており、その同じワイルドカード文字列はTenzorビルドにも表示されます。
Remusはまた、アンチ分析ロジックを強化しています。実行の初期段階で、PEBのモジュールリストをウォークし、各DLL名のカスタムCRC32ハッシュを計算し、いずれかのハッシュがサンドボックスおよびセキュリティツールモジュールの小さく、キュレーションされたセット(たとえばSandboxieおよびComodo仮想化DLLs)と一致する場合、すぐに終了します。
RemusはこれらをEtherHidingに置き換えます。eth_call JSON-RPCリクエストをハードコードされたEthereumスマートコントラクトに公開RPCエンドポイント経由で送信し、実行時にコントラクト応答からhexエンコードされたC2アドレスを解析します。
スマートコントラクトのデータは分散化され不変であるため、ディフェンダーは単にdead dropを削除するために虐待報告を提出することはできず、C2の回復力を大幅に増加させます。
次に、ユーザーのDocuments\Outlook Filesディレクトリ内の特定の「[email protected]」Outlookアーカイブをチェックして、追加のサンドボックスインジケータとして使用します。
これらのチェックは、既存のLummaスタイルのCPUIDベースのハイパーバイザ検出を補完します。ここで両つのファミリーは0x40000000リーフをクエリし、ECXを難読化された文字列のKVM、QEMU/TCG、VMware、VirtualBox、およびXenと比較します。
ディフェンダーの場合、Remusはブランド新しいstealerのように見えるのではなく、より賢いC2解決とより広いアンチ分析カバレッジで再構築されたLummaの64ビット進化のように見えます。
実用的なハンティング機会には、公開Ethereum RPCエンドポイントへの異常なeth_callトラフィックの検出、疑わしいスタートアップパラメータで生成された隠れたデスクトップブラウザプロセス、および非ブラウザプロセスからの繰り返されたCryptUnprotectMemory使用が含まれます。
Lummaの歴史的な影響と明確な系統を考えると、組織はRemusを優先度の高いinfostealer脅威として扱い、そのEtherHiding駆動インフラストラクチャとABEバイパス動作を考慮するために検出、サンドボックス、およびEDRルールセットを更新する必要があります。
翻訳元: https://gbhackers.com/remus-infostealer-debuts/
