Raccoon/Vidar 情報スティーラーが蔓延:AnyDesk/Notepad++/Zoom などをルアーに使う

Raccoon and Vidar Stealers Spreading via Massive Network of Fake Cracked Software

2023/01/16 TheHackerNews — Raccoon や Vidar などの情報窃取型マルウェアの配布において、250以上のドメインで構成される大規模で弾力性のあるインフラが、2020年初頭から利用されている。サイバー・セキュリティ企業である SEKOIA は、今月の初めに発表した分析で、「偽のソフトウェア・カタログを使用すると、約 100 の Web サイトへとリダイレクトされた後に、GitHub などのファイル共有プラットフォームでホストされている、ペイロードをダウンロードすることになる」と述べている。


SEKOIA によると、マルウェアを配布するためのレンタル・サービス Traffic Direction System (TDS) を運営する脅威アクターが、これらの悪意のドメインを提供しているようだ。

この攻撃は、Google などの検索エンジンで、ソフトウェアやゲームのクラック版を検索するユーザーをターゲットにしている。つまり、検索エンジン最適化 (SEO) ポイズニングと呼ばれる技術を活用し、不正な Web サイトを上位に表示することで被害者を誘い込み、悪質なペイロードをダウンロード/実行させようとするものだ。

ポイズニングが成功した結果として、希望したソフトウェアのダウンロード・リンクが表示されるが、それをクリックすると、5段階の URL リダイレクトが行われる。その結果としてユーザーは、GitHub でホストされているパスワード保護された RAR アーカイブ・ファイルを指す、短縮リンクを表示する Web ページへと誘導されることになる。

研究者たちは、「複数のリダイレクトを使用することで、セキュリティ・ソリューションによる自動分析が複雑になる。この種のインフラストラクチャを構成すること、ステップの更新や変更を簡単かつ迅速に行う、弾力性の確保が担保される」と述べている。


被害者が RAR アーカイブを解凍し、その中に含まれるセットアップと称する実行ファイルを実行すると、Raccoon または Vidar マルウェアのいずれかが、システムにインストールされる。

Cyble は、AnyDesk、Bluestacks、Notepad++、Zoom などの広く使用されているソフトウェアを誘惑として使用し、Rhadamanthys Stealerとして知られる機能豊富なスティーラーを提供する不正なGoogle広告キャンペーンを詳述しており、この進展は、そのようなものである。

この不正な Google 広告キャンペーンは、Cyble が詳細に説明したことで露呈したものであり、AnyDesk/Bluestacks/Notepad++/Zoom などの著名なソフトウェアをルアーとして悪用して、Rhadamanthys Stealer という名の機能豊富なスティーラーを配信している。

また、銀行口座の明細書を装うフィッシング。メールを利用して、無意識のうちに不正なリンクをクリックさせるという攻撃も確認されている。

また、過去においては、Mitsu Stealer という名の Python ベースの情報窃盗ソフトを広めるために、人気のリモート・デスクトップ・ソリューションを装う偽の Web サイトが使用されたこともある。

どちらのマルウェアも、感染したマシンから各種の個人情報を吸い上げ、Web ブラウザから認証情報を取得し、暗号通貨ウォレットからデータを盗み出す機能を備えている。

ユーザーは、海賊版ソフトウェアのダウンロードを控える必要がある。さらに、可能な限り多要素認証を導入し、アカウントを強固にすることが推奨される。

研究者たちは、「スパムメールを受け取った場合や、フィッシング・サイトにアクセスしてしまった際には、注意を払う必要がある。アプリケーションをダウンロードする前に、ソース・サイトの正当性を確認することが重要だ」と述べている。

Traffic Direction System (TDS) が絡んでいるとのことですが、ポイズニングが成功した結果として、5段階の URL リダイレクトが行われるようです。それにより、検知を逃れる確率を高めるわけです。なお、このブログ内を検索してみたら、以下の3つが見つかりました。

2022/01/02:Parrot TDS:WordPress サイトを標的
2022/12/28:Keitaro TDS:Google 検索の広告を悪用
2021/08/05:Prometheus TDS:MaaS とトラフィック操作攻撃

%d bloggers like this: