34 Russian Cybercrime Groups Stole Over 50 Million Passwords with Stealer Malware
2022/11/23 TheHackerNews — 2022年1月〜7月の間で 34グループものロシア系ギャングが、SaaS (Stealer-as-a-Service) モデルの下で情報窃取型マルウェアを配布し、5,000 万以上のパスワードを盗み出していたことが判明した。シンガポールに拠点を置く Group-IB は、The Hacker Newsと 共有したレポートの中で、「盗まれたログと漏洩したカード情報の闇市場価値の総額は、約 $5.8 million と推定される」と述べている。
パスワードの略奪の他に、21億1000万個のクッキー・ファイル/113,204 個の暗号ウォレット/103,150 個のカード情報なども盗まれているとのことだ。
被害者の大半は米国の居住者であり、次いでブラジル/インド/ドイツ/インドネシア/フィリピン/フランス/トルコ/ベトナム/イタリアの順となっている。ちなみに、この期間中に、111カ国で合計 890,000 台のデバイスが、Stealer に感染している。
Group-IB によると、SaaS (Stealer-as-a-Service) を拡散し、情報窃盗グループを増加させている詐欺グループのメンバーは、以前に Classiscam オペレーションに参加した者たちだという。
これらのグループは Telegram 上で活動し、管理者/作業者 (売人) で構成される階層に、約 200人のメンバーが在籍するようだ。作業者 (売人) 階層のメンバーは、RedLine/Raccoon などの情報スティーラーへと、無防備なユーザーを誘導する役割を担っている。
ターゲットの誘導は、有名企業になりすましたルアー・サイトを立ち上げ、被害者を誘導して悪質なファイルをダウンロードさせることで完遂する。このような Web サイトへのリンクには、SNS 上の人気ゲームや宝くじの YouTube 動画レビューに埋め込まれるものや、NFT アーティストとダイレクトに共有されるものがある。
Group-IB は、「このグループの管理者は、盗み出したデータや金銭の分配と引き換えに、RedLine/Racoon の両方を作業者に貸し与える。スティーラーを3つ同時に使用するグループもあれば、1つしか持っていないグループもある」と述べている。
今回の調査で明らかになった Telegram の役割は、製品アップデートの発表/カスタマー・サポートの提供/侵害したデバイスから流出させたデータのハブ機能などであり、さまざまな犯罪行為を容易にさせている。
また、SEKOIA の最新レポートによると、7つの異なる情報窃盗グループが、Aurora と呼ばれる最新の情報スティーラーを、自らのツールセットに追加したことが判明している。
Group-IB は、「窃盗グループが関与するスキームは、参入障壁の低さにより人気を博している。プロセスが完全に自動化されているため、高度な技術的知識を持たない初心者であっても、Telegram ボットにステーラーのファイルを作成し、そこにトラフィックを誘導することで、作業が完了する」と説明している。
つい先日の 11月21日に「Aurora インフォ・スティーラー:サイバー犯罪者の間で採用が増加している」という記事がポストされ、このインフォ・スティーラーへの追跡が始まったようです。そして今日の記事は、SaaS (Stealer-as-a-Service) として提供される Aurora を利用する、一連の犯罪の実行犯にフォーカスしています。すでに、膨大な数のパスワードが盗み出されています。よろしければ、InfoStealer で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.