LTX Stealerは、名称が示す通りにインフォスティーラー型マルウェアです。
あの手この手で検出を回避しつつ、忍び寄ってきます。
どんなマルウェアなのでしょうか。
- ターゲットはWindows環境
LTX Stealerのターゲットとなる環境は、Windows環境です。
多くの他のマルウェアと同じように、利用者の多い環境を狙ってきます。 - 隠れ蓑1:正規のインストーラーの悪用
入口となるソフトウェアの配布には、正規のインストーラーが悪用されます。
LTX Stealerは、初期配信メカニズムとしてInno Setupを活用します。
通信を見ている限りでは、それは通常の利用そのものです。 - 隠れ蓑2:配布物は暗号化状態
マルウェアが動作する際には復号化された状態で動作しますが、侵害環境に持ち込む段階では暗号化された状態になっています。
持ち込む内容の中にNode.jsランタイムを含めていて、その持ち込んだ環境を使って復号化して動作させます。
バイトコードレベルで難読化が実施されているため、セキュリティ解析者にとっては内容の理解は簡単ではありません。
しかも、配布物はとても大きいです。
アーカイブした状態で配布されるのですが、そのアーカイブの中には、実に5888個のファイルが含まれているのです。
そしてその合計サイズは375MBに達します。
数でもサイズでも、アンチウイルスソフトウェアなどでの対応を実質的に困難にします。 - 隠れ蓑3:特権昇格も簡単
通常であれば特権昇格も脆弱性を使用するなどの何らかの手配が必要となります。
しかしLTX Stealerでは事情が異なります。
LTX Stealerは配布手段に正規のインストーラーに隠れる方式を選択しています。
このため、自然な方法で現地で管理権限を獲得できるのです。 - 隠れ蓑4:通信も紛れ込ませる
侵害環境の中での動作だけでなく、C2との通信においても隠れ蓑が用意されています。
C2への接続にはドメイン名が利用されまずが、その権威サーバにはCloudflareが使用されます。
そしてマルウェアの管理コンソールのコンテンツはCDNにおいて動かします。
名前解決的にも、コンテンツ置き場的にも、通常の通信との区別は容易ではありません。
展開が完了すると、LTX Stealerはもともとの目的の活動を開始します。
Webブラウザに保存された認証情報、暗号資産関連の情報、画面のスナップショット、システムの詳細情報、といった情報を収集し、外部に持ち出します。
このLTX Stealerは、MaaSで提供されています。
悪意ある活動を開始するために、自分自身でマルウェアを作ることは必須ではありません。
だれかが安くで提供しているものを契約するだけで、悪意ある活動の開始が可能です。
脅威活動の参入障壁はあきらかに低くなってきています。
他人事ではなく、身の回りにある脅威として注意していくことが必要です。
LTX Stealer : Analysis of a Node.js–Based Credential Stealer
https://www.cyfirma.com/research/ltx-stealer-analysis-of-a-node-js-based-credential-stealer/
| この記事をシェア |
|
|---|
