Python マルウェア Inf0s3c Stealer が新登場:Discord チャネル経由で Windows データを窃取

New Stealthy Python Malware Leverages Discord to Steal Data From Windows Machines

2025/09/03 CyberSecurityNews — Python ベースの高度な情報窃取マルウェア Inf0s3c Stealer が、サイバー・セキュリティ分野に登場した。このマルウェアは、Discord チャンネルを介してデータを窃取する、先進的な機能を実現している。具体的に言うと、従来からのシステム偵察技術と、現代的な通信プラットフォームを、組み合わせるように設計されている。それにより検出を回避しながら、侵害した Windows システムからホスト識別子/CPU 情報/ネットワークコンフィグ/ユーザーデータなどの機密情報を、体系的かつ効率的に収集する包括的なグラバーとして機能している。

このマルウェアは実行時に、コマンド・プロンプトから複数の PowerShell コマンドをサイレントに呼び出し、広範なシステム情報を取得して、詳細な環境プロファイルを作成する。このスティーラーは、Discord アカウント/ブラウザ認証情報/Cookie/閲覧履歴/暗号通貨ウォレット/Wi-Fi パスワードに加え、Steam/Epic Games/Minecraft などの人気ゲーム・プラットフォームのセッション情報といった、広範な機密情報を標的とする。

Inf0s3c Stealer (Source – Cyfirma)

Cyfirma の研究者によると、このマルウェアは UPX 圧縮および PyInstaller バンドルを組み合わせた、高度なパッケージングと難読化の技術を用いて検出を回避しているようだ。そして、6.8MB の実行ファイルは 8,000 という高いエントロピー値を保持し、静的解析から真の機能を隠蔽するという、強力なパッキングが施されている。

このマルウェアは実行中に、Windows の %temp% フォルダ内に一時ディレクトリを作成し、窃取したデータを Credentials/Directories/System などのカテゴリ別サブディレクトリに体系的に整理した後に、パスワード保護されたアーカイブにまとめる。そして、収集されたデータは Discord チャネル経由で、Blank Grabber とラベル付けされた圧縮 RAR アーカイブとして送信される。

この手法により、正規通信インフラを利用するユーザー・アクティビティに、悪意のトラフィックを紛れ込ませ、ネットワーク監視システムによる検知の可能性を大幅に低減している。

永続化と回避メカニズム

Inf0s3c Stealer は、永続化の戦術を備えることで、長期的なシステム侵害を可能にする。このマルウェアは、Windows の StartUp フォルダに自身をコピーし、”.scr” 拡張子を付与することで、スクリーンセーバー・ファイルに偽装する。

Build.exe (Source – Cyfirma)

この手法は、システム全体の StartUp ディレクトリをターゲットとする、PutInStartup() 関数を通じて実装される。

def PutInStartup() -> str:
    STARTUPDIR = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp"
    file, isExecutable = Utility.GetS```()
    if isExecutable:
        out = os.path.join(STARTUPDIR, "{}.scr".format(Utility.GetRandomString(invisible=True)))
        os.makedirs(STARTUPDIR, exist_ok=True)
        try: shutil.copy(file, out)
        except Exception: return None
        return out

さらに Inf0s3c Stealer は、VM 対策チェックや、ウイルス対策関連 Web サイトへのブロック機能といった、複数の分析回避の機能を備えている。その実行後には melt 機能で自己削除を行い、フォレンジック上の痕跡を最小化している。それに加えて、ファイル・サイズを人為的に大きくする pump stub 機能を搭載し、サイズ・ベースの検出ヒューリスティックを回避している。

Python ベースの情報窃取型マルウェア Inf0s3c Stealer が発見されました。このマルウェア攻撃は、正規の仕組みを悪用しながらデータを盗み出すものです。具体的には、PowerShell コマンドをサイレントに実行して詳細な環境情報を収集し、Discord の通信経路を利用して窃取データを外部に送信するという仕組みが実装されているようです。また、圧縮や難読化の技術により検出を回避し、さらに StartUp フォルダへのコピーやスクリーンセーバー偽装などで永続化を実現していると、この記事は指摘しています。感染経路については、まだ判明していないということなのでしょう。よろしければ、Info Stealer で検索も、ご参照ください。