サイバーセキュリティの世界は新たな脅威に直面しています。それは、高度に洗練された64ビット情報窃取マルウェアであるRemusの発見です。セキュリティ研究者がGen Digitalで最近、Remusが悪名高いLumma Stealerの基本コードから直接開発されたことを発見しました。
このマルウェアは2026年初期に流通し始め、2025年8月から10月の間にLummaのコア開発者の公開ドキシングが行われた直後のことでした。
Remusを理解するために、分析者はまず2025年9月に作成された過渡的テストビルド「Tenzor」を調査しました。
Tenzorは橋として機能し、RemusがLummaと同じコアアーキテクチャを共有していることを証明しました。この2つの間で最も強い結びつきの1つは、Chromiumベースのブラウザ内のアプリケーションバウンド暗号化(ABE)をバイパスするための非常に具体的な方法です。
標準的な抽出方法を使う代わりに、Remusはカスタムの軽量シェルコードをブラウザのメモリに直接注入します。
このシェルコードは保護された暗号化キーを探し出し、その場で復号化します。今までのところ、この特定のメモリベースのバイパス方法はLummaの操作にのみ独占的に結びついていました。
RemusはLummaとの強力な基盤を共有していますが、モダンネットワーク向けの複数の大きなアップグレードが導入されています。最も注目すべき変更は、オペレータとの通信方法です。
古いLummaバージョンは、SteamプロフィールやTelegramチャネルなどの正規プラットフォーム上に隠された「デッドドロップリゾルバー」というリンクに依存して、コマンド・アンド・コントロール(C2)サーバーを特定していました。
Remusはこれらのプラットフォームを放棄し、C2アドレスをEthereumスマートコントラクト内に保存する最先端技術「EtherHiding」を採用しています。
公開されたEthereumエンドポイントにクエリを実行することで、Remusはブロックチェーンをとおしてそのサーバーを特定でき、インフラを従来のテイクダウンとシンクホール対策に対して実質的に耐性を持たせています。
データ窃取を試みる前に、このマルウェアはAvast、Sandboxie、Comodoなどの一般的なサンドボックスと分析環境に関連するソフトウェアモジュールについてシステムをスキャンします。
これらのツールを検出した場合、静かにシャットダウンして検出を回避します。巧妙な新しい回避技術として、Remusはユーザーのドキュメントフォルダで「[email protected]」という名前の特定のOutlookファイルを検索します。
このハニーポットファイルが見つかった場合、Remusはセキュリティトラップに引っかかったと判断し、すぐに実行を停止します。
翻訳元: https://cyberpress.org/remus-infostealer-emerges-fast/