【2025年最新】Rust製マルウェア偽CAPTCHAで拡散する高度な情報窃取型攻撃

2025年に入り、サイバーセキュリティ業界で大きな注目を集めているのが、Rustで開発された新たな情報窃取型マルウェア「EDDIESTEALER」ですね

Rust製マルウェア「EDDIESTEALER」とは?

 

Rust製マルウェア「EDDIESTEALER」とは?

EDDIESTEALERは、近年増加しているRustプログラミング言語によって開発されたマルウェアの一つです。Rustは安全性とパフォーマンスの高さで注目されていますが、サイバー犯罪者にとっても、解析の困難さから選ばれる言語となっています。

EDDIESTEALERは、偽装されたCAPTCHAページを使ってユーザーをだまし、自分自身でPowerShellコマンドを実行させることで感染を成立させます。このタイプの攻撃は“ClickFix”とも呼ばれ、ユーザーが「人間かどうか確認する」ために、ウィンドウズキー+Rで実行させるよう誘導する手口が特徴です。

感染プロセスと手口の巧妙さ

攻撃の最初のステップでは、gverify.jsというJavaScriptファイルがユーザーの環境にダウンロードされ、さらにRust製のバイナリ本体(EDDIESTEALER)を呼び出します。

このとき、以下のような偽のCAPTCHAが表示されます:

「私はロボットではありません。以下の手順に従って確認してください。

  1. 下のボタンをクリックしてコードをコピー

  2. [Windowsキー + R] を押して 'ファイル名を指定して実行' を開く

  3. コピーしたコードを貼り付けて実行」

ユーザーがこの指示に従ってしまうと、PowerShellが悪意あるスクリプトを実行し、EDDIESTEALERがバックグラウンドで活動を開始します。

 

 

技術的特徴と難読化手法

EDDIESTEALERは、以下のような特徴的な技術で防御・検出を回避します:

  • 文字列の暗号化(XOR方式)

  • WinAPI呼び出しの動的解決

  • UUIDベースのMutexで重複起動防止

  • 物理メモリ4GB未満環境での自己終了

  • NTFS代替データストリームを使った自己削除機能

このように多層的な難読化・回避策を講じることで、アンチウイルスソフトやEDRからの検知を逃れ、長期間活動できるよう設計されています。

盗み出される情報の内容

EDDIESTEALERは、以下のような重要情報を標的にしています:

  • ブラウザの保存パスワードやクッキー(ChromeやEdge)

  • 仮想通貨ウォレット(Metamask等)

  • FTPクライアントやメッセンジャーの認証情報

  • システム情報(CPU、GPU、ベンダー名、OSバージョンなど)

さらに、Chromeの“リモートデバッグモード”を悪用し、DevTools経由でメモリ内のパスワードマネージャ情報を抽出する手法も確認されています。これは極めて巧妙な攻撃で、ブラウザに保存された重要な認証情報を簡単に盗まれてしまう危険があります。

C2通信の仕組みと通信の秘匿化

感染後、EDDIESTEALERはHTTP通信を使ってC2サーバ(コマンド&コントロール)とやり取りします。最初の通信で設定情報を取得し、次に暗号化されたデータをPOSTで送信します。

ここで使われる暗号はAES(共通鍵暗号)で、バイナリ内にハードコードされたキーが使われています。攻撃者はこの通信を通じて、盗まれた情報や実行中のタスクをリモートで確認・管理できます。

なぜRust製が危険視されているのか?

Rust言語は、CやC++に匹敵するパフォーマンスと安全性を持つ一方で、次のような理由でマルウェア開発にも使われ始めています:

  • 静的解析が難しい(バイナリが難読化されやすい)

  • 型安全かつメモリ管理が厳格

  • コンパイル後にシンボルが完全に取り除かれる

そのため、従来の逆アセンブル手法やYARAルールによる検知が難しく、検知・除去に時間がかかるのが実情です。

企業・個人が取るべき対策

EDDIESTEALERのような新種マルウェアに対抗するには、次のような多層防御が必要です:

  • ClickFix攻撃の教育と注意喚起:「CAPTCHAでコード実行」は完全に詐欺です

  • EDR(Endpoint Detection and Response)の導入

  • ファイル実行時の監視と振る舞い検知

  • Webブラウザのリモートデバッグ無効化

  • PowerShell使用制限とログ監視

また、サンドボックス環境や仮想環境でのテストにおいて、Rust製バイナリが正しく動作しないような環境判別回避策も実装されているため、リアルタイムのメモリ検査やEDRベースの監視が不可欠となります。

EDDIESTEALERの脅威は続く

Rust製のマルウェア「EDDIESTEALER」は、偽のCAPTCHAとClickFix型の社会工学的手法を組み合わせた極めて危険なマルウェアです。セキュリティソリューションの進化と同時に、こうした新種マルウェアへの対応力も問われています。

今後、さらなる機能追加や亜種の登場が予想されるため、企業も個人も日々の注意と早期検知体制の構築が求められています。

 

 

 

 

 

 

 

大阪 道頓堀 ひっかけ橋