Last Updated on 2024-06-20 20:32 by 荒木 啓介
新しいRustベースの情報窃取型マルウェア「Fickle Stealer」が複数の攻撃チェーンを介して配信され、侵害されたホストから機密情報を収集することが観察された。Fortinet FortiGuard Labsによると、このマルウェアはVBAドロッパー、VBAダウンローダー、リンクダウンローダー、実行可能ファイルダウンローダーの4つの異なる配信方法を使用し、いくつかはPowerShellスクリプトを使用してユーザーアカウント制御(UAC)をバイパスし、Fickle Stealerを実行する。このPowerShellスクリプト(”bypass.ps1″または”u.ps1″)は、被害者に関する情報(国、都市、IPアドレス、オペレーティングシステムのバージョン、コンピュータ名、ユーザー名)を定期的に攻撃者が制御するTelegramボットに送信するように設計されている。スティーラーペイロードはパッカーを使用して保護され、サンドボックスや仮想マシン環境で実行されているかどうかを判断する一連のアンチアナリシスチェックを実行した後、JSON文字列の形でデータをリモートサーバーに送信する。
Fickle Stealerは、ChromiumおよびGeckoブラウザエンジン(Google Chrome、Microsoft Edge、Brave、Vivaldi、Mozilla Firefoxなど)を搭載したWebブラウザ、およびAnyDesk、Discord、FileZilla、Signal、Skype、Steam、Telegramなどのアプリケーションから情報を収集するように設計されている。また、.txt、.kdbx、.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.odt、.odp、wallet.datといった拡張子を持つファイルのエクスポートも行う。セキュリティ研究者Pei Han Liaoによると、「一部の人気アプリケーションに加えて、このスティーラーは一般的なインストールディレクトリの親ディレクトリ内の機密ファイルを検索し、包括的なデータ収集を確実にする。また、サーバーからターゲットリストを受け取り、Fickle Stealerの柔軟性を高める」とのことである。
一方、Symantecは、広範な情報を盗む機能を備えたオープンソースのPythonスティーラー「AZStealer」の詳細を公開した。GitHubで入手可能であり、「最高の検出されないDiscordスティーラー」として宣伝されている。盗まれた情報はすべて圧縮され、アーカイブのサイズに応じて直接Discordウェブフックを通じて、または最初にGofileオンラインファイルストレージにアップロードされた後にDiscordを介して外部に送信される。AZStealerは、特定のキーワード(パスワード、ウォレット、バックアップなど)がファイル名に含まれているか、事前に定義された対象の拡張子を持つドキュメントファイルの盗難も試みる。
【ニュース解説】
新しいRustベースの情報窃取型マルウェア「Fickle Stealer」が、侵害されたホストから機密情報を収集する目的で、複数の攻撃チェーンを介して配信されていることが観察されました。このマルウェアは、VBAドロッパー、VBAダウンローダー、リンクダウンローダー、実行可能ファイルダウンローダーという4つの異なる方法を使用して配信され、その一部はPowerShellスクリプトを利用してユーザーアカウント制御(UAC)をバイパスし、マルウェアを実行します。このスクリプトは、被害者の情報を定期的に攻撃者が制御するTelegramボットに送信するように設計されています。
Fickle Stealerは、暗号通貨ウォレットや、Google Chrome、Microsoft Edge、Brave、Vivaldi、Mozilla FirefoxなどのChromiumおよびGeckoブラウザエンジンを搭載したWebブラウザ、さらにはAnyDesk、Discord、FileZilla、Signal、Skype、Steam、Telegramなどのアプリケーションから情報を収集するように設計されています。また、特定の拡張子を持つファイルのエクスポートも行います。このように、Fickle Stealerは多岐にわたるデータを収集することが可能であり、柔軟性が高いことが特徴です。
このニュースは、サイバーセキュリティの分野における新たな脅威の出現を示しています。Rust言語をベースにしたマルウェアは、そのメモリ安全性の高さから開発者にとって魅力的であり、攻撃者もこの特性を利用してより高度なマルウェアを開発していることが伺えます。また、PowerShellを利用したUACバイパスは、攻撃者がシステムの深部にアクセスしやすくするため、セキュリティ対策の強化が急務となります。
このようなマルウェアの出現は、個人ユーザーだけでなく、企業にとっても重大な脅威となります。特に機密情報を扱う企業では、従業員の教育やセキュリティシステムの強化が必要です。また、このマルウェアの出現は、サイバーセキュリティの規制や法律にも影響を与える可能性があり、国際的な協力や情報共有の重要性が高まっています。
長期的な視点では、マルウェアの進化に対応するためには、AIや機械学習を活用した自動化されたセキュリティ対策の開発が鍵となります。また、攻撃者と防御者の間の「競争」は、技術の進化に伴ってさらに激しくなることが予想されます。このため、サイバーセキュリティの専門家は常に最新の脅威に対する知識を更新し、新たな防御手法を開発する必要があります。
from New Rust-based Fickle Malware Uses PowerShell for UAC Bypass and Data Exfiltration.
