Titan Stealer: A New Golang-Based Information Stealer Malware Emerges
2023/01/30 TheHackerNews — Titan Stealer という名の Golang ベースの新たな情報窃取型マルウェアが、Telegram チャンネルで宣伝されていることが判明した。Uptycs のセキュリティ研究者である Karthickkumar Kathiresan と Shilpesh Trivedi の最新のレポートには、「このスティーラーは、感染した Windows マシンから、ブラウザや暗号ウォレットからのクレデンシャル・データ/FTP クライアントの詳細/スクリーンショット/システム情報/掴んだファイルなどの、さまざまな情報を盗み出す」と記されている。
このマルウェアの詳細は、サイバー・セキュリティ研究者の Will Thomas (@BushidoToken) が、2022年11月に IoT 検索エンジン Shodan に対して、クエリーをかけたことで明らかになった。
ビルダー形式で提供されている Titan は、マルウェア・バイナリのカスタマイズが可能であり、特定の機能を取り込むことや、被害者のマシンから流出させる情報を指定できる。
このマルウェアは、実行時にプロセス・ホロリングと呼ばれる手法を用いることで、Microsoft .NET ClickOnce Launch Utility の AppLaunch.exe という正規プロセスのメモリに、悪意のペイロードを注入する。
Titan Stealer が標的とする主な Web ブラウザには、Google Chrome/Mozilla Firefox/Microsoft Edge/Yandex/Opera/Brave/Vivaldi/7 Star Browser/Iridium Browser などが含まれる。また、暗号ウォレットに関しては、Armory/Armory/Bytecoin/Coinomi/Edge Wallet/Ethereum/Exodus/Guarda/Jaxx Liberty/Zcash が挙げられている。
また、Titan の機能には、侵害したホストにインストールされているアプリ・リストの収集もあり、Telegramデスクトップ・アプリに関連するデータを取得することも可能だ。
収集された情報は、Base64 エンコードされたアーカイブ・ファイルとして、攻撃者のコントロール下にあるリモートサーバに転送される。さらに、このマルウェアに付属する Web パネルを介して、脅威アクターが盗んだデータにアクセスすることも可能だ。
このマルウェアの配布で用いられる詳細な手口は不明だが、これまでの脅威アクターたちは、フィッシング/悪質な広告/クラックされたソフトウェアなどの、さまざまな方法を利用していた。
Titan Stealer を独自に分析している Cyble は、「この情報窃取型マルウェアで、Golang が用いられる理由の1つとして、Windows/Linux/macOS などの複数の OS 上で実行できる、クロス・プラットフォームのマルウェア作成が容易になる点があるだろう。さらに、Go でコンパイルされたバイナリ・ファイルはサイズが小さいため、セキュリティ・ソフトウェアによる検出がより困難になっている」と述べている。
このように、開発が進展したのは、複数の犯罪者がキャンペーンで利用されている、別の Go ベースのマルウェア Aurora Stealer について、2ヶ月ほど前に SEKOIA が詳述したこともあるだろう。
このマルウェアの一般的な感染経路は、有名なソフトウェアを模倣した Web サイトだ。これらのドメインは、異なるアプリケーションのトロイの木馬化されたバージョンをホストするために、活発に更新されている。
さらに、このマルウェアは、ウイルス対策ソフトウェアによる検出を回避するために、パディングと呼ばれる手法を利用して、ランダムなデータを追加して実行ファイルのサイズを最大 260MB まで、人為的に膨らませることが確認されている。
これまでにも、正規のソフトウェア/ゲームを装う数百の偽の Webサイトを用いて、Raccoon/Vidar を配信するマルウェア・キャンペーンが観測されてきたが、今回の調査結果により、それに続くものが判明した。
Team Cymru は、今月の初めに発表した分析において、「Vidar のオペレーターは、インフラを2つに分けている。1つは通常のユーザーのために、もう1つは管理者のために構築され、後者はプレミアム・ユーザーにも提供されていた」と指摘している。
また、新たな情報スティーラーが登場したようです。2023/01/24 にも、「DragonSpark という中国の APT:Golang ソースの実行時解釈で検出を回避」という記事がありました。2022年の秋から、この種のマルウエアが暴れまわっているようです。文中にもある Aurora/Raccoon/Vidar に関しては、以下の記事を、よろしければ、ご参照ください。
2023/01/16:Raccoon/Vidar 情報スティーラーが蔓延
2023/01/10:AnyDesk に大量の偽サイト:Vidar を配布
2022/11/21:Aurora 情報スティーラー:採用が増加
2022/11/02:Raccoon Stealer V2 の調査
2022/10/25:Raccoon Stealer が解体:MaaS 運営者が逮捕
IoT OT Security News 
You must be logged in to post a comment.