新たな脅威「LTX Stealer」の台頭
最近、ログイン情報や機密データを狙う新たなマルウェアキャンペーン「LTX Stealer」が確認され、ITセキュリティ業界に警戒が広がっています。この洗練されたマルウェアは、従来の攻撃手法とは異なり、正規のソフトウェアフレームワークとクラウドサービスを悪用することで、その活動を隠蔽し、検出を困難にしています。
巧妙な配布と検出回避メカニズム
LTX Stealerは、「Inno Setup」という正規のWindowsソフトウェアインストーラー作成ツールで構築された、巧妙に偽装されたインストーラーを通じて配布されます。この悪意あるファイルは、一見すると通常のアプリケーション「Negro.exe」のように見えますが、そのメタデータには「LTX Stealer」という明確なタグが含まれており、その正体をうかがわせます。
さらに、このインストーラーは巨大な暗号化されたアーカイブを含んでおり、ファイルの約99.9%が暗号化されています。これにより、セキュリティツールによる内部の悪意あるコードのスキャンを妨害し、検出を回避しています。CYFIRMAの分析によると、攻撃者は正規のインストーラーとユーザーの信頼を利用して、目立たないシステム侵害を実現しているとのことです。
Node.jsと難読化の悪用
LTX Stealerの内部構造は、そのユニークな点です。感染後、マルウェアは管理者の権限を要求し、これを許可すると、隠れたシステムフォルダに「updater.exe」というペイロードをドロップします。このファイルは、Microsoftのアップデートコンポーネントに見せかけるように設計されています。
「updater.exe」は通常のウイルスとは異なり、Node.jsランタイム環境がバンドルされています。攻撃者は「pkg」ツールを用いて悪意あるJavaScriptコードをランタイムと共にパッケージ化しています。さらに、このコードはLSASSアクセスRokenを複製し、現在の実行スレッドに適用することで、一時的にSYSTEMコンテキストで実行されます。また、「Bytenode」コンパイルを利用して、マルウェアのロジックをリバースエンジニアリングや分析から保護しています。
標的となる情報
LTX Stealerは、アクティブになると、以下の機密情報を積極的に狙います:
- Chromiumベースのウェブブラウザデータ:Google ChromeやMicrosoft Edgeなどから、保存されたログイン情報(ユーザー名とパスワード)、ブラウザクッキー、アクティブなセッショントークンを窃取します。これには、ブラウザの復号プロセスを模倣するPythonスクリプト(decrypt.py)を使用し、暗号化保護を回避します。
- 仮想通貨資産:感染したコンピューター内のウォレットファイルや、ブラウザベースの仮想通貨拡張機能のデータをスキャンし、すべてをアーカイブにまとめて外部に送信します。
インフラとビジネスモデル
このマルウェアのバックエンドインフラは、正規のクラウドサービスに依存しており、通常のネットワークトラフィックに紛れ込むよう設計されています。マルウェアは、ドメイン「api.eqp.lol」を解決し、Supabaseを認証およびデータベース管理に、Cloudflareをコマンド&コントロール(C2)サーバーの場所を隠すために利用しています。
CYFIRMAの分析では、LTX Stealerが「Stealer-as-a-Service(SaaS)」として運営されていることが示唆されています。マルウェアは、週10ドルまたは月25ドルという低価格で、公開チャネルを通じて宣伝されています。これは、特定の標的型攻撃よりも、広範な無差別攻撃を目的としていることを示しています。開発者はブラジルに拠点を置いている可能性が高いとされています。
侵害の兆候 (IOCs)
以下は、LTX Stealerによる侵害の兆候です:
- ドメイン: eqp[.]lol
- パネルIPアドレス: 69[.]164.242.27
- SHA256 (Updater.exe): ca9798f6bb9ad81dc20f8dee10c19368a44f3e48d71fa823b9c6f3b6473ca518
- SHA256 (Negro.exe): 112d731bbfd7379cdf3263cbba39a170c235d616c26b803f3afe6b014f4748a1