Hackers Use S1deload Stealer to Target Facebook, YouTube Users
2023/02/23 InfoSecurity — Facebook/YouTube のアカウントを標的とする情報スティーラーを用いた、新たなグローバル・キャンペーンをセキュリティ研究者たちが発見した。Bitdefender が S1iDeload Stealer と命名した新しいスティーラーは、悪意のコンポーネントを実行するために、DLL サイドローディング技術を採用している。
Bitdefender のセキュリティ研究者である Dávid ÁCS は、水曜日に公開されたアドバイザリで、「S1deload Stealer が採用している DLLのサイドローディング技術は、デジタル署名された正規の実行ファイルを使用し、ユーザーにクリックさせることで悪意のコードを実行するものだ。S1deload Stealer は、このサイドロードでセキュリティを突破することで、効率的にシステムに感染する」と説明している。
さらに、この実行ファイルは、マルウェアに対するユーザーの警戒心を低下させるために、画像フォルダを介して配布されるという。
システムに感染した S1deload Stealer は、ユーザーの認証情報を取得するほか、人間の行動を模倣して、動画などのコンテンツに対するエンゲージメントを、人為的に高めることが可能だ。さらに、個々のアカウントのシステム価値を評価した後に、BEAM 暗号通貨を採掘し、ユーザーのフォロワーに悪意のリンクを伝播させるとも報告されている。
Coro 共同創設者の Dror Liwer は、「これは単なる個人の認証情報漏えいのように見えるかもしれないが、このような攻撃で盗まれたものには、企業メールの認証情報も含まれ、その後の BEC 攻撃に使用されている。同じデバイスを用いて、プライベートと仕事の両方をこなすユーザーが増えたことで、個人と企業の認証情報の境界線が消失してしまったのだ」と説明している。
さらに、KnowBe4 の Data-Driven Defense Evangelist である Roger Grimes は、S1deload Stealer のようなマルウェアは、常にマルウェア対策ソフトを回避する手段を見出し続けるだろうと述べている。
彼は Infosecurity に対するメールで、「悪用が成功する根本的な原因に焦点を当てるべきだが、個々の脅威を追いかけて排除しようとするだけの、長期的かつ負け戦のモグラ叩きゲームをしている。S1deload Stealer などの大半のマルウェアは、ソーシャル・エンジニアリング攻撃を発見/撃退する方法について、ユーザーを積極的に訓練することで、妨ぐことができる」と語っている。
S1deload Stealer に関する詳しい情報は、Bitdefender チームによる最新の WHITEPAPER に掲載されている。
先日には、ウクライナを標的とした別の情報スティーラー Graphiron に関して、Symantec の研究者たちがシステム防衛者に警告を発している。そのた数週間後に、今回の調査結果は公表されている。
DLL のサイドローディングについて調べてみたら、Cybereason のレポートで「脆弱なソフトウェアを利用して悪意の DLL をロードし、セキュリティ機構を回避して、マルウェア実行の永続化を可能にするもの」と解説されていました。具体的な手順は、以下のとおりです。
- DLL サイドローディングの脆弱性を持つ、信頼できる実行ファイルを見つける。
- 正規のDLLと同じ名前を持つ悪意あるDLLを構築する。
- この DLL と信頼できる実行ファイルをパッケージ化する。
- 実行を開始するための、悪意あるショートカット (LNK) ファイルを作成する。
- 攻撃に必要なファイルを ZIP ファイルなに圧縮する。
- フィッシングを通じて、同アーカイブを被害者に配信する。
なお、記事の本文だけでは情報不足だと感じたため、Bitdefender の S1deload Stealer – Exploring the Economics of Social Network Account Hijacking も参照した上で翻訳しました。
IoT OT Security News 
You must be logged in to post a comment.