Myth Stealer Malware
サイバーセキュリティ研究者らは、Rustで書かれた、これまで文書化されていなかった情報窃取マルウェア「Myth Stealer」を発見しました。この悪意のあるソフトウェアは、詐欺的なゲームウェブサイトを通じて拡散されています。実行されると、偽のインストールウィンドウを表示して正規のマルウェアのように見せかけながら、バックグラウンドで密かに悪意のあるペイロードを復号し、起動します。
目次
フリーウェアから本格的なマルウェア・アズ・ア・サービスへ
Myth Stealerは、2024年12月下旬にTelegramでベータ版として無料公開され、その後、MaaS(Malware-as-a-Service)へと進化しました。Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi、Mozilla FirefoxなどのChromiumおよびGeckoベースのブラウザから、パスワード、Cookie、自動入力データなどの機密情報を収集するように設計されています。
Telegramの戦術とマーケットプレイスの活動
Myth Stealerの背後にいる攻撃者は、盗んだアカウントの宣伝やユーザー体験談の共有に利用していた複数のTelegramチャンネルを運営していました。これらのチャンネルはTelegramによって削除され、マルウェアの主要なマーケティングおよびサポート手段の一つが阻害されました。
偽ゲームサイトが拡散を促進
研究者たちは、Myth Stealerの拡散が、GoogleのBloggerプラットフォーム上にホストされているものを含む、偽のゲームウェブサイトに関連していると指摘しています。これらのサイトは、ビデオゲームのテストプラットフォームを装い、無防備なユーザーを誘い込みます。興味深いことに、ほぼ同じBloggerページが以前、AgeoStealerという別のスティーラーの拡散に使用されていました。
Myth Stealer vs. AgeoStealer: 似たような戦術、異なるコード
Myth StealerとAgeoStealerは配信方法が類似しているにもかかわらず、技術的な関連性は確認されていません。AgeoStealerはJavaScriptで開発され、Electronアプリとしてパッケージ化されているのに対し、Myth StealerはRustプログラミング言語を使用して構築されています。
クラックされたソフトウェアとフォーラムの餌
Myth Stealerは、ゲームチートソフトウェアであるDDraceのクラック版を装い、オンラインフォーラムで確認されています。これは、無防備なゲーマーやチート探しをする人々を罠にかける、より広範かつ多様な配布戦略を示唆しています。
手品:欺瞞的な実行プロセス
マルウェアのローダーは、その配信方法に関わらず、偽のセットアップウィンドウを表示することで、正当性を装います。そして、その裏では、スティーラーコンポーネントを復号して実行し、ユーザーに知られることなくデータ窃取プロセスを開始します。
ステルス窃盗:技術的能力
Myth Stealerは、64ビットDLLペイロード内で、データ抽出前にアクティブなブラウザプロセスを終了させようとします。盗んだ情報はリモートサーバー、あるいは場合によってはDiscordのWebhookに流出します。
検出を回避する:進化する戦術
Myth Stealerは、文字列の難読化やファイル名とユーザー名に基づくシステムチェックといった分析回避技術を組み込んでいます。開発者は、ウイルス対策ソフトによる検出を回避するためにマルウェアを頻繁に更新し、スクリーンキャプチャやクリップボードハイジャックといった機能を追加して機能を拡張しています。
結論:マルウェアの世界における脅威の増大
Myth Stealerは、最新のマルウェア開発手法、マルチチャネル配信戦略、そして回避技術を駆使し、高度化・進化を続ける脅威です。Myth Stealerの出現は、特にゲームコミュニティにおいて、信頼できないソースからソフトウェアをダウンロードすることのリスクが高まっていることを浮き彫りにしています。
