2026年2月下旬、eSentireの脅威対応ユニット(TRU)の研究者は、金融サービス企業をターゲットとした、以前に文書化されていないマルウェアファミリーを特定しました。
「STX RAT」と呼ばれるこの高度な脅威は、「テキストの開始」(STX)マジックバイト(「\x02」として表される)の一貫した使用が名前の由来であり、これをコマンド・アンド・コントロール(C2)サーバーに送信されるメッセージに付加します。
STX RATの初期攻撃ベクトルは、機会主義的な方法に大きく依存しています。被害者は、偽のまたはトロイの木馬化されたFileZillaソフトウェアインストーラーなどの悪意あるダウンロード、またはブラウザーからダウンロードされた悪意あるVBScriptファイルを通じてマルウェアに遭遇することがよくあります。
実行されると、感染プロセスはメモリ内のPowerShellローダーで開始され、ハードドライブに触れることなくコアの悪意あるペイロードを慎重に展開して注入し、残されるデジタルフットプリントを最小限に抑えます。
STX RATを特に危険にしているのは、検出回避に大きく焦点を当てていることです。完全に有効化する前に、マルウェアは仮想マシン(VM)またはセキュリティ研究者の分析環境で実行されていないことを確認するために複数のチェックを実行します。
人気のあるセキュリティソフトウェア、VMwareやVirtualBoxなどのハイパーバイザー、およびアンチウイルスツールに関連する特定のレジストリキー、ファイル、および実行中のプロセスを探します。これらの環境のいずれかを検出した場合、分析を回避するために直ちに実行を停止します。
STX RATが足がかりを確立すると、攻撃者に幅広い強力なツールを提供します。顕著な機能はその隠されたバーチャルネットワークコンピューティング(HVNC)機能です。
これにより、サイバー犯罪者は感染したマシン上に隠されたリモートデスクトップセッションを開くことができます。この隠されたデスクトップを通じて、攻撃者はキーストロークを秘密裏に注入し、マウスを移動させ、被害者に知られることなく被害者のコンピューターと完全に対話することができます。
興味深いことに、マルウェアのデータ盗聴機能は自動的にトリガーされません。スチーラー機能は、マルウェアがC2サーバーに正常に接続し、収集を開始するための明示的なコマンドを受け取るまで休止状態のままです。
このゲート化されたアプローチは、マルウェアがオフラインサンドボックスでテストされた場合、その真の意図を明かさず、セキュリティアナリストが利用できる動作証拠を効果的に減らすことを意味します。
侵害されたマシンへのアクセスを維持するために、STX RATはWindowsレジストリへのエントリの追加またはComponent Object Model(COM)オブジェクトのハイジャックなど、さまざまな方法を使用して永続性を確立します。
これらの手法により、ユーザーがコンピューターをオンにするたびにマルウェアが自動的に再起動することが保証されます。
さらに、不要なWindowsスクリプティングツールを無効にし、強力なエンドポイント検出および応答(EDR)ソリューションを実装することは、これらの高度でステルスな感染が重要なデータを盗む前に検出および停止するための重要なステップです。
翻訳元: https://cyberpress.org/stx-rat-steals-silently/