LummaStealerは、かつて大きく展開されていたインフォスティーラー型マルウェアです。
このマルウェアは、Webブラウザに保存されている認証情報やCookie、暗号資産ウォレットの詳細、ドキュメント、セッションCookie、認証トークン、VPN構成、アカウントデータ、などのさまざまな機密データをターゲットにします。
このマルウェアはこの高機能な動作を非常に広い範囲で実行していたのですが、2025年5月に法執行機関を中心とした組織群の活動によって活動を停止されました。
その際に押収されたドメインは2300個もありました。
それと同時にC2機構が動作しているサイトも押収されましたので、活動は継続できない状態になりました。
しかしそのたった2か月後の2025年7月には、活動は再開されてしまいました。
そして現在、また大きく活動していることが確認されています。
現在の活動の様子を見てみましょう。
- MaaSでの提供
LummaStealerはもともとMaaS(Malware as a Service)で展開されていました。
復活後もMaaSで展開されています。
これはいくつもの脅威アクターが並行してLummaStealerを展開する事態になることを示します。 - CastleLoaderによる展開
CastleLoaderは名称が示す通りにマルウェアローダーです。
このマルウェアローダーは、ClickFixを通じて感染します。
CastleLoaderは、モジュール式のメモリ内実行モデルとなっていて、高度な難読化機構を含んだ内容となっています。
CastleLoaderは多くのマルウェアを展開してきていますが、その一つがLummaStealerでした。
このローダーは単に目的のマルウェアを展開する機能だけでなく、事前調査としてセキュリティソフトウェアによる監視が実施されているかをチェックすることが可能ですし、自分自身を永続化する機構も搭載しています。
マルウェアを展開できることが確認できてから展開するという動きを実施します。
CastleLoaderは、LummaStealerを展開する大きな経路の一つです。
しかしこれだけではありません。
LummaStealerはMaaSで提供されており、他の経路でも展開されています。
ClickFixはいろいろなところで展開されている初期感染方式です。
正規のソフトウェアの更新を装ったものも多数ありますが、それ以上にやはり多くみられるのが、有償製品の海賊版の配布サイトなどです。
欲望に意識が集中してしまった利用者はClickFixに引っかかってしまいやすくなります。
ClickFixを避けるためということではないわけですが、そういったものに手を出さないようにする、ということが身を守ることにもつながっていくと思われます。
LummaStealer Is Getting a Second Life Alongside CastleLoader
https://www.bitdefender.com/en-us/blog/labs/lummastealer-second-life-castleloader
| この記事をシェア |
|
|---|
