ロシア語のサイバー犯罪フォーラムで「breakcore」という偽名で販売されていたAsukaStealerが摘発されました。犯人は月額80ドルでサービスを提供し、その機能を悪用しようとする個人や組織を標的にしています。
C++ で記述された AsukaStealer は、カスタマイズ可能な構成と直感的な Web ベースのインターフェースを備えており、マルウェアを効率的に展開および管理しようとするサイバー犯罪者にとっての使いやすさが向上します。
Mozilla Firefox、Google Chrome、Microsoft Edgeといった人気ブラウザを含む幅広いブラウザに侵入するように設計された高度なマルウェアです。これらのブラウザから拡張機能データ、インターネットCookie、保存されたログイン認証情報といった貴重な情報を抽出する機能を備えており、ユーザーのプライバシーとセキュリティに重大な脅威をもたらします。GeckoベースとChromiumベースのブラウザの両方を標的とするため、Asukaは様々なブラウザプラットフォームに広く侵入し、機密データの収集を狙うサイバー犯罪者にとって強力なツールとなっています。
Asukaはブラウザデータに加えて、個人や企業が一般的に使用する他のアプリケーションやソフトウェアも標的とする機能を備えています。暗号通貨ウォレット、FileZillaなどのFTPクライアント、DiscordやTelegramなどのメッセージングプラットフォーム、Steamなどのゲームソフトウェアに関する情報も収集します。
さらに、Asuka の機能はデータ抽出にとどまらず、感染したシステムからファイルを抜き出したり、スクリーンショットを撮ったりする機能も備えています。
技術仕様
AsukaStealer rはC++カスタムマルウェアです。サンプルを分析する際、まず API ハッシュ技術。
図1: マルウェアによるAPI解決
分析の結果、Asuka には base64 でエンコードされた値と XNUMX 進数値がいくつかあることがわかりました。
キーとして「1d6f6623f5e8555c446dc496567bd86e」を使用し、base64エンコードされたC2アドレスとして「WRBCFgwZHQZIAVcWAwMbUQEOBVRTBA==」を使用しています。
C2Cアドレスをデコードすると hxxp://5.42.66.25:3000/
図2: キーを使用してc2c base64値をデコードする
設定ファイルのC2Cダウンロード
最も興味深い事実は、c2c サーバー hxxp://5.42.66.25:3000/ から構成ファイルをダウンロードし、それを利用しようとすることです。
図3: 設定ファイル
設定ファイルから、ブラウザと Discord の詳細が利用されていることがわかります。
データ漏洩
図4: デスクトップ版と言語IDの確認
デスクトップ バージョンと言語 ID を収集し、アルメニア、アゼルバイジャン、ベラルーシ、カザフスタン、キルギスタン、モルドバ、タジキスタン、ウズベキスタン、ウクライナ、またはロシアからのものであるかどうかを確認します。
図5: OS詳細キャプチャ
また、CPU の詳細、OS バージョン、RAM、タイムゾーンなどの詳細も取得しようとします。
図6: ブラウザの資格情報の詳細
また、ブラウザの Cookie、パスワード、Web データなどのログイン詳細も収集しようとします。
図7: Chromiumブラウザの詳細
上の図は、Chromium ブラウザからデータを盗もうとする様子を示しています。
盗もうとするブラウザのリストは以下のとおりです。
- OperaGX
- net
- Chromium
- グーグル
- Google86
- Opera
- クロムプラス
- イリジウム
- 7Star
- セントブラウザ
- チェドット
- ビバルディ
- コメタ
- 要素
- EpicPrivacyBrowser
- ウラン
- スレイプニル5
- シトリオ
- クーウォン
- リーバオ
- QIPSurf
- 軌道
- アミーゴ
- トーチ
- Yandexブラウザ
- コモド
- 360ブラウザ
- Maxthon3
- K-メロン
- スプートニク
- ニクロム
- コッコッ
- Uran2
- クロモド2
- アトム
- ブレイブソフトウェア
- エッジ(Edge)
- GeForceエクスペリエンス
- Steam
- 暗号タブブラウザ
また、次の暗号通貨ウォレットの詳細を盗もうとします。
- osmウォレット
- DogeLabsウォレット
- セーフパル
- ケプラーウォレット
- ゼクレイ
- リープコスモスウォレット
- エトススイウォレット
- 夜ごと
- Z3US
- ビットスキー
- ABCウォレット
- BitPay
- オーロックスウォレット
- ウォレットガード
- EOファイナンスウォレット
- BitKeepウォレット
- コアウォレット
- 暗号ウォレット
- ヴェノムウォレット
- ブラボスウォレット
- ソルフレアウォレット
図8: 閲覧データをデータベースファイルに保存する
次に、マルウェアは、cookies.sqlite、logins.json、cert9.db、key4.db など、ブラウザ データを復号化するための重要なファイルを収集して送信します。
各ファイルは、UuidCreate関数によって生成された一意のUUIDに関連付けられており、これにより、窃取されたデータの追跡と整理が容易になります。注目すべきは、UuidCreateはホストから抽出された他のデータにも利用されており、暗号通貨ウォレット、Grabberモジュール、Steam、Telegram、その他のソースにまたがっており、マルウェアの包括的なデータ窃取能力を示していることです。
コインマイナーをダウンロード
また、Coinminer ファイルをダウンロードし、tempik22814838.exe という名前で一時フォルダーに保存して実行します。
コインマイナーの C2C: hxxp://www.marrem.ee/altushka1488228pudge.exe
図9: コインマイナーがダウンロードされ、一時フォルダにドロップされる
c2c をチェックしようとしたところ、攻撃者がユーザーの詳細をすべて保存した AsukaStealer のログイン ページが見つかりました。
図10:AsukaStealerマルウェアのログインページ
マイター攻撃の手法:
| 初期アクセス | TA0001 |
| 実行 | TA0002 |
| 防衛回避 | TA0005 |
| クレデンシャルアクセス | TA0006 |
| プーケットの魅力 | TA0007 |
| 収集 | TA0009 |
コマンドおよび制御 |
TA0011 |
| アプリケーショントークンを盗む | T1528 |
| Web セッション Cookie を盗む | T1539 |
| スクリーンキャプチャ | T1113 |
| C2経由の流出 | T1041 |
結論:
マルウェアの増加とMalware-as-a-Service(MaaS)の蔓延により、脅威アクターは容易に入手可能な情報を時間をかけずに利用することがますます容易になっています。個人や企業にとってデータは最も重要な資産であり、脅威アクターはそれを盗み出し、アンダーグラウンドフォーラムで販売することで、大規模な侵害を引き起こす可能性があります。そのため、このような事態を回避するために、アンチウイルスソフトウェアを最新の状態に保つことがますます重要になっています。
IOC:
24bb4fc117aa57fd170e878263973a392d094c94d3a5f651fad7528d5d73b58a AsukaStealer
6b8277813999b908fc38eca68db5249fe0b76a8f652cb1a5a21d073247ed7dc4 Coinminer
著者:
ソウメン・ビルマ
ルマナ・シディキ
