このマルウェアがのパスワードの盗難機能は特に深刻だ。Chromium.dllを用いて、Chrome、Opera、Yandex、360Chrome、Comodo Dragon、Coolnovo、Torch、Chromium、Braveなど、複数のブラウザから認証情報を抜き取る。これらのブラウザは通常、デフォルトのLocalApplicationフォルダに暗号化された形式で認証情報を保存しているが、マルウェアはそれを抽出して復号化し、攻撃者のサーバーに送信する仕組みだ。
#CYFIRMAresearch has identified a dangerous new version of #NeptuneRAT being actively shared online. This #malware spreads through #GitHub, #Telegram, and #YouTube. It can steal passwords from over 270 applications.#CyberSecurity #MalwareAlert#CYFIRMAhttps://t.co/GTtKp1N8JQ
— CYFIRMA Research (@CyfirmaR) April 7, 2025
近年多くの事例で報告されているように、このRATもWindowsのコアシステムプロセスに同化してステルス性と永続性を獲得している。これによってセキュリティ解析を妨げるだけでなく、システムの再起動時にもマルウェアを再起動させる。「schtasks.exeを用いて持続的なスケジュールタスクを作成し、1分ごと(/sc minute /mo 1)にコマンドを実行するよう設定する。タスクはウィンドウを表示せず(WindowStyle.Hidden)、強制的(/f)に作成される」というやり方だ。
当然ながら、RATはランサムウェア機能も備えている。デスクトップには「How to Decrypt My Files.html(「暗号化を解除するには」)」というHTMLファイルが作成され、攻撃者への連絡方法やファイルに何が起こったのか、復旧のために必要な身代金が説明される。システム内のすべてのファイルは暗号化され、拡張子が.ENCに変更されるため、復号化しない限りアクセスできない。
Cyfirmaは「Neptune RATが備える悪意ある機能──ランサムウェアや暗号資産のクリップ詐取、デスクトップの監視、アンチウイルス機能の無効化など──は極めて深刻だ。複雑化と進化を続けるため、個人だけでなく組織にとっても重大なリスクとなる」と警告している。
ユーザーは、常に最新のWindowsの脆弱性に対する修正プログラムをすべて適用するとともに、こうした脅威を検出可能なセキュリティソフトを最新の状態で運用する必要がある。特にWindows 10を使っている場合は、Windows 10のサポートが終了する予定日である10月14日を迎えるまでに、セキュリティアップデートを維持できるよう適切な対策を講じなければならない。
