サイバーニュース.jp

世界のサイバーなニュースを配信

「SantaStealer」マルウェアが機密ファイル、認証情報、仮想通貨ウォレットデータを窃取

カテゴリ:

「SantaStealer」マルウェアの脅威が浮上:機密データ窃取と検出回避のメカニズム

サイバーセキュリティ研究機関Rapid7 Labsは、新たなマルウェア・アズ・ア・サービス(MaaS)型情報窃取ツール「SantaStealer」を発見しました。「BluelineStealer」から名称変更されたこのマルウェアは、2025年末までにリリースが予定されており、検出を回避するために完全にメモリ上で動作し、機密データを窃取する能力を持つため、世界中のユーザーにとって新たな脅威となっています。

「SantaStealer」のターゲットとデータ窃取の手口

SantaStealerは、ドキュメント、認証情報、暗号通貨ウォレット、多数のアプリケーションからのデータを含む、包括的な機密情報を収集および外部に送信するように設計されています。窃取されたデータは圧縮され、10MBのチャンクに分割された後、暗号化されていないHTTP接続を介してコマンド&コントロール(C2)サーバーに送信されます。

マルウェアの運営者は、この製品を「完全にC言語で書かれており、カスタムCポリモーフィックエンジンを備え、完全に検出されない」と宣伝していますが、Rapid7の分析では異なる状況が明らかになっています。

高度な技術的特徴と検出回避メカニズム

Rapid7は2025年12月上旬に、汎用的な情報窃取ツール検出ルール(通常Raccoon Stealerファミリーに関連)をトリガーするWindows実行ファイルを発見しました。サンプルの分析から、以下のような技術的特徴が判明しました。

  • 500以上のエクスポートされたシンボル(例:「payload_main」、「check_antivm」、「browser_names」)を持つ64ビットDLL。
  • 認証情報窃取機能を示す多数の暗号化されていない文字列。
  • 環境変数の読み取り、スクリーンショット撮影、Telegramデスクトップ、Discord、Steam、ブラウザ拡張機能、閲覧履歴、パスワードなどをターゲットとする14のモジュールを持つモジュール式マルチスレッド設計
  • Chromiumベースのブラウザに対しては、ChromElevatorプロジェクトに基づく追加の実行ファイルを埋め込み、直接syscallベースのリフレクティブプロセスホロイングを用いて正規のブラウザプロセスをハイジャックすることでAppBound Encryptionをバイパス
  • 静的にリンクされたライブラリには、JSON解析用のcJSON、zlib代替ライブラリとしてのminiz、SQLiteデータベースとのインターフェース用のsqlite3が含まれる。
  • アンチ分析機能として、カスタムローリングチェックサムによるブロックされたプロセスチェック、不審なコンピューター名、ハードコードされた分析環境ディレクトリ、システム稼働時間検証、時間ベースのデバッガ検出など、複数の機能が組み込まれている。
  • オプションで、CIS諸国(独立国家共同体)のチェック機能があり、GetKeyboardLayoutList APIを使用してロシア語キーボードレイアウトを検出し、CISをターゲットから除外するように構成されている場合は実行を終了する。

商業モデルと運営業者の実態

SantaStealerの背後にいる脅威アクターは、ウェブパネルを通じてアクセス可能な洗練されたアフィリエイトプログラムを運営しています。ユーザーはアカウント登録を通じて、機能リスト、料金モデル、ビルド構成オプションにアクセスできます。マルウェアの構成はJSONエンコードされたデータとして保存され、「SANTA STEALER」のUnicodeアートバナーと、窃取ツールのTelegramチャンネルへのリンクが含まれています。

  • 基本バージョンは月額175ドル。
  • プレミアムバージョンは月額300ドル。

運営者は、アンチ分析技術、アンチウイルス回避、政府機関や企業ネットワークへの展開能力など、野心的な機能を宣伝しています。このマルウェアはTelegramとロシア語圏のハッカーフォーラム「Lolz」で宣伝されており、ソビエト連邦の国コードドメインの使用やCISターゲットオプションから、運営業者がロシア国籍である可能性が示唆されています。

運用上のセキュリティの失敗と対策

SantaStealerの運営業者による大胆な主張とは裏腹に、Rapid7の分析は重大な運用上のセキュリティの失敗を明らかにしています。流出したサンプルには、難読化されていないコード、完全なシンボル名、暗号化されていない文字列が含まれており、「検出不可能」とは程遠く、比較的簡単に分析できることが判明しました。このような明確な指標を持つ開発ビルドの時期尚早な流出は、その有効性を著しく損なう可能性のある運用上のセキュリティの欠陥を示唆しています。

SantaStealer感染から身を守るために、ユーザーは以下の点に注意する必要があります。

  • 認識できないリンクやメールの添付ファイルには注意する。
  • 偽の人間認証プロンプトや、コマンド実行を要求するテクニカルサポートの指示を避ける。
  • 海賊版ソフトウェア、ビデオゲームのチート、未検証のプラグインや拡張機能など、未検証のソースからのコードを実行しない。

組織は、この新たな脅威に関連する現在の侵害指標(IOCs)を認識するようにエンドポイント検出システムを更新する必要があります。

元記事: https://gbhackers.com/santastealer-malware/

投稿をさらに読み込む