Researchers Discover Numerous Samples of Information Stealer ‘Stealc’ in the Wild
2023/02/21 TheHackerNews — ダークウェブで宣伝されている Stealc という新しい情報スティーラーが、他の同種のマルウェアの有力な競合相手として頭角を現しているようだ。SEKOIA は 2月20日 (月) のレポートで、「Stealc は、完全な機能を備え、即座に使用できるスティーラーとして脅威アクターに紹介されている。そのテクノロジーは、Vidar/Raccoon/Mars/RedLine などのスティーラーを拠り所にしている」と述べている。
フランスのサイバー・セキュリティ企業である SEKOIA は、野放し状態で活動している 40 以上の Stealc サンプルと、35 のアクティブな C2 (Command-and-Control) サーバを発見したと述べている。つまり、すでに Stealc は、犯罪グループの間で人気を博していることを示唆している。
Stealc は、ロシア語圏のアンダー・グラウンド・フォーラムである XSS と BHF で、Plymouth という脅威アクターにより、2023年1月9日から販売されている。同マルウェアは C 言語で書かれており、Web ブラウザ/暗号ウォレット/メール・クライアント/メッセージング・アプリなどからデータを盗み出す機能を備えている。
また、この Malware-as-a-Service (MaaS) は、カスタマイズ可能な file grabber を特徴とし、購入者にとって興味のあるファイルを吸い上げるための、モジュールの調整が可能となっている。さらに、追加のペイロードを展開するためのローダー機能も実装されている。
SEKOIA は、「疑わしい存在だった開発者が、信頼できる脅威アクターとしての地位を急速に確立し、情報スティーラーを扱うサイバー犯罪者たちの信頼を得たと、高い確信度で評価している」と述べている。
Stealc の配布ベクターとしては、侵害したアカウントから投稿された YouTube 動画からのリンクが、クラック済みソフトウェアを販売する Web サイト “rcc-software[.]com” へ向けられていることが確認されている。
つまり、YouTube で海賊版ソフトウェアのインストール方法を探しているユーザーが、ターゲットにされていることが示唆され、Aurora という別の情報スティーラーが採用した戦術が模倣されていると思われる。
SEKOIA は、「Stealc MaaS の顧客は、C2 サーバをホストするための管理パネルを所有し、このスティーラーのサンプルを自ら生成している。そのため、近い将来において、この管理パネルのビルドが、地下コミュニティに流出する可能性もある」と付け加えている。
アンチウイルス・ベンダーの Avast によると、2022 Q4 に最も流行したスティーラーマルウェア株は、FormBook/Agent Tesla/RedLine/LokiBot/Raccoon/Snake Keylogger/Arkei (そのフォーク Vidar も含む) であったという。
C2 サーバをホストするための管理パネルまで抵抗されるのですから、この Stealc は Malware-as-a-Service と呼んだほうが良いのでしょうね。この種のものとしては、Raccoon Stealer/Prometheus TDS/Golden Chickens などもあるようです。最近の情報スティーラー関連の記事は、以下のとおりです。
2023/01/30:Titan Stealer :Golang ベースで検出を回避
2022/12/20:PyPI に W4SP Stealer:大量の亜種
2022/11/21:Aurora :サイバー犯罪者の間で採用が増加
IoT OT Security News 
You must be logged in to post a comment.