インフォ・スティーラーが台頭した 2023年:一般的なマルウェアとの違いは?

Info Stealers And How To Protect Against Them

2023/12/18 SecurityAffairs — インフォ・スティーラーとは、その名の通り、その他のマルウェアと同様に企業や個人のユーザーを麻痺させる可能性があるものだ。この種のマルウェアを、どのように防御すればよいのだろうか。インフォ・スティーラーは、情報窃盗とも呼ばれ、被害者のコンピュータやネットワークから機密情報や個人情報を密かに収集するように設計された、悪意のマルウェアの一種である。それらのマルウェアは、ログイン情報/財務情報/個人情報などの貴重なデータを盗むことを目的として作成されている。

  • インフォ・スティーラーは、完成させたシステムからデータを取得/送信するように設計されている。それらのデータには、ユーザー名/パスワード/クレジットカード番号/社会保障番号/その他の機密情報が含まれる場合がある。
  • インフォ・スティーラーは、悪意の電子メールの添付ファイル/感染した Web サイトなどの、さまざまな経路で配信されるマルウェア・ペイロードのことである。
  • いったんシステムにインストールされると、多くの場合において、可能な限り長い間において検知されないように振る舞う。ウイルス対策などのセキュリティ・ソリューションを回避するために、さまざまな手口を使うこともある。
  • 多くのインフォ・スティーラーはリモート・コントロール機能を備えており、攻撃者はリモートからマルウェアを管理し、データを抽出できる。
  • インフォ・スティーラーは、攻撃者の目的に応じて、個人/企業/組織を標的にすることがある。盗み出す情報の、潜在的な価値が高い標的が選ばれることがある。
  • インフォ・スティーラーな多様であり、それぞれに固有の狙いがある。たとえば、ログイン情報を狙うものもあれば、財務データや知的財産を狙うものもある。
  • 暗号化技術を使用して Command and Contorl (C2) サーバとの通信を隠し、セキュリティ・システムによる検出を困難にする場合もある。
ダークウェブでの取引

私たちの調査チームが、いくつかの Telegram チャンネルとダークウェブ市場を調査したことで、いくつかのインフォ・スティーラーが販売されていることが判明した。

それらは、ダークウェブのマーケットやフォーラムに保管されていることが多く、不特定多数のユーザーが利用できるわけではないため、もっと多くのインフォ・スティーラーが存在すると考えられる。

さらに、私たちの調査チームは、いくつかの Cashout Bank Logs が販売されていることも突き止めた。つまり、それらのログを盗むために、インフォ・スティーラーが使用された可能性もある。

Cashout Bank Logs とは、フィッシングやハッキングにより銀行情報に不正アクセスした脅威アクターが、そこで得られた情報を用いて、現金の窃取や不正な取引を行うという、一瞬のサイバーのことを指す。

  • Bank Logs: 銀行口座に関する機密情報を含む一連のデータ。この情報には、ログイン情報 (ユーザー名とパスワード)/口座番号に加えて、その他の口座へのアクセスや管理を可能にする詳細情報が含まれる。
  • Cashout: キャッシュアウトとは、漏洩した銀行口座から資金を引き出すプロセスを指す。ATM からの不正な引き出し/他の口座への送金/不正な買い物などの、さまざまな手段が存在する。
  • 違法行為: 許可なく他人の銀行口座情報にアクセスすることは違法であり、サイバー犯罪の一形態と考えるべきだ。プライバシーやセキュリティに関する規制に違反し、このような行為に関与した個人は、厳しい法的処罰を受ける可能性がある。
まとめ
  • サイバー犯罪者のインフラには、顧客と通信するための電子メールアドレスや Telegram チャンネルなどの、いくつかの共通項が含まれていることが多い。
  • サイバー犯罪の志望者がインフォ・スティーラーを使用すれば、サイバー犯罪を行うための技術的スキルも不要になる。多機能のサイバー犯罪ツールを使って、マルウェア・キャンペーンを行うための費用は $150 もあれば十分である。
  • サイバー犯罪者は、Bank Logs だけではなく、機密情報を含むセッション・クッキーなどの、他の種類のログも売ることもある。
  • この Cybernews の記事では、Mars が言及されている。Mars はランサムウェアではなくインフォ・スティーラーだが、この2つのマルウェアには、いくつかの関連性がある。たとえば、ランサムウェアもインフォ・スティーラーも、Bitcoin をターゲットにしている。ランサムウェアは2020年後半に発見され、インフォ・スティーラーは2021年6月に発見された。CheckMate キャンペーンも、Mars インフォ・スティーラーを使用していた可能性がある。

2023年になって、よく聞くことになった言葉に、Info Stealer があります。もちろん、以前からあるものですが、サーバー犯罪が多様化/分業化し、情報を盗んで次のステップへと受け渡すフェーズが、注目を集めるようになった結果なのでしょう。似通ったものに IAB (Initial Access Brokers) がありますが、こちらの方の登場機会は、激減したように感じます。