新たなワープマルウェアが改良されたStealerium Infostealerをドロップ

概要

1990年代、インターネットの普及に伴い、サイバー犯罪者はパスワードスティーラーを含む基本的なマルウェアの開発と拡散を始めました。初期のスティーラーマルウェアは、主にオンラインサービスやメールアカウントのログイン認証情報やパスワードを標的としていました。技術の進歩に伴い、スティーラーマルウェアの機能も向上し、様々な機密情報を標的とするようになりました。

サイバー犯罪のエコシステムと地下フォーラムの台頭により、スティーラーマルウェアの亜種の数は大幅に増加しました。 MaaS（サービスとしてのマルウェア）サイバー犯罪者は、特定のニーズや脆弱性に対応する、さまざまな種類のスティーラーマルウェアの販売と配布を開始しました。「ワープスティーラー”は高度に洗練され、多機能です。感染したシステムから、ハードウェアの詳細、ネットワーク構成、閲覧履歴、金融やオンライン活動に関する機密データなど、貴重な情報を抜き出すことができます。時間の経過とともに、スティーラーマルウェアは検出やセキュリティ対策を回避するように進化してきました。中には、高度な難読化技術やルートキット機能を用いて存在を隠し、従来のウイルス対策ソフトウェアによる検出を逃れるものもあります。

スティーラーマルウェアは、次のようなさまざまな方法で配布されることが多い。 悪意のあるメール 添付ファイル、感染したソフトウェアのダウンロード、侵害された Web サイトからのドライブバイダウンロード、ソーシャル エンジニアリング手法などです。

感染連鎖

• 攻撃者は Telegram ボット アカウントを作成し、ボット トークンを実行可能ファイルに挿入します。
• 攻撃者は実行ファイルを電子メールの添付ファイルとして展開し、被害者のメールに送信します。
• 被害者がメールを開くと、実行ファイルがダウンロードされ、実行が開始されます。
• ローダーとして動作し、ドロッパーコンポーネントをダウンロードします。これにより、UACをバイパスするためのファイルと、AV/EDRソリューションを停止するためのファイルの2つのファイルがドロップされます。
• ドロッパーは最終的にスティーラーをダウンロードし、被害者のシステム情報、クレジットカード情報、暗号通貨ウォレット情報、ソーシャルメディアアカウント情報、ウェブブラウザのCookie、保存されたパスワードをすべて盗みます。また、ウェブカメラの映像を収集してログとして保存し、後に攻撃者のC2サーバに送信します。
• アンチデバッグ、アンチVM、アンチサンドボックスなどの分析対策技術を備えており、システム内に存在する分析ツールもチェックして動作を隠します。
• すべてのキー情報を収集し、仮想通貨ウォレットがある場合はクリップボード情報とともにフォルダに保存します。また、ウォレットIDを攻撃者のウォレットIDに置き換えます。

結論

サイバー環境が進化するにつれ、スティーラーマルウェアは今後も適応を続け、ユーザーの脆弱性を悪用し、プライバシーとセキュリティを侵害する新たな方法を見つけ出すでしょう。こうした脅威から身を守るために、個人や組織はソフトウェアを常に最新の状態に保ち、最新のウイルス対策ソフトウェアを使用し、システムとアプリケーションを定期的にアップデートし、リンクをクリックしたりファイルをダウンロードする際には注意を払い、適切なパスワード管理を実践することで個人情報を保護する必要があります。ワープローダー、ドロッパー、スティーラー、そしてUACバイパスとアンチウイルスソフトの無効化技術に関する詳細な分析は、当社のレポートをご覧ください。 ホワイトペーパー.

IOC

URLは

著者

サトウィック・ラム・プラッキ

ラヤパティ・ラクシュミ・プラサンナ・サイ