概要
LummaStealer の感染症が急激に増えています。これは、ClickFix 技術を使用して CastleLoader マルウェアを配布する社会工学的なキャンペーンの結果です。
LummaStealer とは?
LummaStealer(LummaC2)は、情報窃取型マルウェアとして知られるサービスで、マラウイ・ステールダーと呼ばれることもあります。このサービスは、マルウェア・アズ・ア・サービス (MaaS) プラットフォームとして運営されており、2025年5月に複数のテクノロジー企業や法執行機関によって取り締まりを受けました。
再活性化と拡大
LummaStealer の活動は、2025年7月から再び活発化し始めました。サイバーセキュリティ企業 Bitdefender によると、LummaStealer の操作は2025年12月から2026年1月にかけて大幅に拡大しており、現在では CastleLoader を使用して配布されています。
CastleLoader の役割
CastleLoader は、LummaStealer の拡散を助ける中心的な役割を果たしています。そのモジュラーモデルやメモリ実行モデル、広範な暗号化技術、柔軟なコマンド&コントロール通信により、このスケールでのマルウェア配布に適しています。
感染チェーン
LummaStealer の実行前に、CastleLoader は環境とサンドボックスチェックを行い、分析されているかどうかを判断します。セキュリティ製品が検出された場合、ファイルパスや持続性の場所が調整されます。
ClickFix 技術
Bitdefender は、ClickFix が LummaStealer キャンペーンで「非常に効果的な感染ベクトル」であると指摘しています。ユーザーには偽の CAPTCHA ページや詳細な指示が表示され、悪意のある PowerShell コマンドを実行するよう促されます。
対策
- 信頼できないまたは公式でないソースからのソフトウェアやメディアのダウンロードと実行を避ける。
- PowerShell またはコマンドラインユーティリティでの不明なコマンドの実行は、悪意のある活動の兆候です。
- パッチ管理ツールを使用して定期的にシステムを更新する。