LTX Stealerはなぜ注意が必要なのですか？

A. 正規の仕組みを悪用し、発見されにくいためです。

LTX Stealerは、利用者の多いWindows環境を主な標的としています。

配布の入口には、Inno Setupを使った正規のインストーラーが使われます。通信の挙動は通常のインストールと区別がつきにくい形になっています。

配布物は暗号化された状態で持ち込まれ、Node.js環境で復号して実行されます。バイトコードレベルで難読化されており、内容の把握は容易ではありません。アーカイブには5888個のファイルが含まれ、合計375MBという大きさです。正規インストーラー経由のため、管理権限が自然に取得される点も特徴です。

通信にはCloudflareやCDNが使われ、通常通信に紛れ込みやすくなっています。

MaaS(Malware as a Service)として提供されており、結果として、悪意ある活動への参入障壁は高くない状態と言えます。

広がるLTX Stealer https://constella-sec.jp/blog/hobokomo-securitynews/tips-1148/