Lucid Stealer、18種類のブラウザと暗号資産ウォレット標的

Lucid Stealer、18種類のブラウザと暗号資産ウォレット標的

Lucid Stealerは、新たに確認された情報窃取型マルウェアで、18種類のブラウザをはじめ、複数の暗号資産ウォレットやDiscordトークンを対象としていることが報告されている。

分析によると、このマルウェアは一般的なパッキング済み実行ファイルとは異なり、Node.jsベースのSingle Executable Application（SEA）として構成されている。研究者らは、この構造により単一ファイル形式での配布が可能になっていると説明している。

また、Lucid StealerはTelegram上の配布チャネルを通じて拡散されており、関連する配布インフラや運用手法について継続的な調査が進められている。

さらに、ブラウザに保存された認証情報、暗号資産ウォレット関連データ、Discordトークンなどを収集対象とする機能が確認されている。

Node.js SEAを利用した多段階実行フロー

分析によると、Lucid Stealerは約100MB規模のWindows x64向けNode.js SEA（Single Executable Application）として構成されている。実行時にはJavaScriptローダーが動作し、補助バイナリをディスク上に展開した後、次段階のJavaScriptペイロードをデコードして実行する仕組みが確認されている。

調査では、ブラウザに保存された認証情報やCookieの収集機能に加え、Discordトークンの取得機能が確認された。また、複数の暗号資産ウォレットを対象とした情報収集機能も含まれている。

さらに、Lucid Stealerにはモジュール型のコンポーネントが実装されており、リモートシェル機能やファイルマネージャー機能などを追加で利用できる構成となっている。

研究者らは、Node.js SEAを利用した実行構造や複数のモジュールを組み合わせた設計について継続的な分析を進めている。

Telegramを利用した配布活動と開発動向

Foresiet Threat Intelチームによると、Lucid StealerはTelegram上の配布チャネルを通じて展開されている。分析では、Node.js SEA（Single Executable Application）形式が利用されており、単一ファイルによる配布が可能な構成となっていることが確認された。

また、研究者らは運営者が将来的にNode.jsベースの構成からJavaベースの構成への移行を検討していると報告している。関連資料では、プラットフォーム変更に関する開発計画や運用方針が確認された。

さらに、この変更によりマルウェアの実装方式や配布形態に変化が生じる可能性があると分析されている。研究者らは、今後の亜種開発や機能追加の動向についても継続的に調査を進めている。

今回の事例は、Telegramを利用した配布活動とNode.js SEAを活用した情報窃取型マルウェアの運用事例として報告されている。

Node.jsベースの情報窃取型マルウェアとして分析

Lucid Stealerは、Node.js SEA（Single Executable Application）を利用した情報窃取型マルウェアとして分析されている。研究者によると、本マルウェアは複数のモジュールと実行段階を備えており、単一のファイル特性だけでは全体の挙動を把握しにくい構成となっている。

分析では、一時ファイルの生成や自己コピー動作、ユーザープロファイル領域への.nodeアドオン配置など、複数の実行フローが確認されている。これらの処理は、後続モジュールの展開や機能実行の一部として利用されている。

また、Lucid Stealerにはブラウザ認証情報、Discordトークン、暗号資産ウォレット関連データの収集機能に加え、リモートシェルやファイル管理機能も実装されていることが報告されている。

今回の事例は、Telegramを利用した配布活動とNode.js SEAを活用したマルウェア運用事例として継続的な調査が行われている。