Malware-as-a-Service – IoT OT Security News

金融機関を狙う DroidBot というAndroid RAT：Trojan-as-a-Service へと進化する？

Trojan-as-a-Service Hits Euro Banks, Crypto Exchanges

2024/12/06 DarkReading — DroidBot と呼ばれるパワフルな Android RAT は、キーロギング／モニタリング／送受信データ転送などのスパイウェア機能を介して、銀行／暗号通貨取引所などの公的な組織からデータを盗み出している。その一方で、サイバー・セキュリティア研究者たちが懸念しているのは、完全な MaaS (Malware-as-a-Service) へと、DroidBot RAT が拡大しているように見える点である。

Lumma Stealer マルウェア：偽の CAPTCHA ページを使用してペイロードを実行

Fake CAPTCHA Pages Used by Lumma Stealer to Spread Fileless Malware

2024/10/22 HackRead — Qualys TRU (Threat Research Unit) が公表したのは、MaaS (Malware-as-a-Service) モデルとして提供されるマルウェア Lumma Stealer が、ユーザーを欺くための手口を大幅に進化させていることだ。Qualys が HackRead に共有した調査結果は、偽の CAPTCHA ページを使用してユーザーを騙して永続的なペイロードを実行させる、アクティブな Lumma Stealer キャンペーンに関するものだ。この攻撃は、複数のステップで構成され、ファイルレス技術を用いる、巧妙かつ持続的なものとなっている。

Google Meet アラートを偽装：ClickFix 攻撃によるマルウェア配信が蔓延

ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS

2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome／Google Meet／Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。

MaaS 感染が最大の脅威：2023年下半期のサイバー攻撃 – Darktrace 調査

Malware-as-a-Service Now the Top Threat to Organizations

2024/02/06 InfoSecurity — Darktrace の最新の研究によると、2023年下半期に、組織にとっての最大の脅威となったのは、MaaS (Malware-as-a-Service) 感染だったという。Darktrace の 2023 年の “End of Year Threat Report” では、多くのマルウェアが機能横断的に適応していることが強調されている。そこに含まれるものには、リモート・アクセス型トロイの木馬 (RAT：Remote Access Trojans) のようなマルウェア・ローダーと、情報窃取型マルウェアとの組み合わせも存在する。

BunnyLoader は最強の Malware-as-a-Service：信じられないスピードで機能を強化している

New BunnyLoader threat emerges as a feature-rich malware-as-a-service

2023/10/02 BleepingComputer —

セキュリティ研究者たちがハッカー・フォーラムで発見した新しい MaaS (Malware-as-a-Service) は、システム・クリップボードの内容を盗んで置き換えることができるファイルレス・ローダーであり、BunnyLoader と名付けられている。このマルウェアの開発は急速に進んでおり、新機能の追加やバグ修正が行われたアップデート版が提供されている。現時点で提供されている機能としては、ペイロードのダウンロードと実行／キーログの収集／機密データと暗号通貨の窃取／リモートコマンド実行などがある。

Raccoon Stealer が復活：使い勝手と検出回避の能力を高めているようだ

Raccoon Stealer malware returns with new stealthier version

2023/08/15 BleepingComputer — 情報スティーラー・マルウェア Raccoon Stealer の開発者は、そのマルウェアの新バージョン 2.3.0 をサイバー犯罪者たちに宣伝するために、６ヶ月間の休暇を終えてハッカーフォーラムに復帰した。Raccoon は、最も有名かつ広範に利用されている情報スティーラー・マルウェアの１つであり、2019年から存在し、月額 $200 のサブスクリプションを通じて脅威アクターたちに販売されている。

RedLine の GitHub リポジトリをテイクダウン：C2 サーバの管理画面を破壊した！

Takedown of GitHub Repositories Disrupts RedLine Malware Operations

2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ／サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。

悪意のオープンソース・パッケージが約 7,000 個も発見された – Sonatype 調査

Researchers Uncover 7000 Malicious Open Source Packages

2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを３月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。

PyPI に reverse-shell という悪意のパッケージ：あからさまな名前を用いる理由は？

‘Blatantly Obvious’: Spyware Offered to Cyberattackers via PyPI Python Repository

2023/04/12 DarkReading — 研究者たちは、プログラミング言語 Python のパブリック・リポジトリである PyPI (Python Package Index) で、大胆な方法で情報スティラーを公開しているマルウェア販売者を発見した。このプログラムは、“reverse-shell” という安直な名前が付けられており、Sonatype の研究者たちは、スペインを拠点とする Malware-as-a-Service (MaaS) グループの SylexSquad と関連づけている。リバースシェルとは、ハッカーが遠隔操作でコマンドを実行する際や、標的となるコンピュータからデータを受信するときに用いるプログラムを指す。

Facebook 上の ChatGPT／Google Bard 偽広告：RedLine スティラーを配布している

Attackers Hide RedLine Stealer Behind ChatGPT, Google Bard Facebook Ads

2023/04/12 DarkReading — サイバー犯罪者たちは、Facebook のビジネスページやコミュニティページを乗っ取り、ChatGPT や Google Bard などの正規のスポンサーを装い、AI チャットボットの無料ダウンロードを宣伝する広告を展開している。それらの広告に誘導されたユーザーは、AI チャットボットではなく、RedLine Stealer と呼ばれる有名な情報スティーラー・マルウェアをダウンロードしていることが、研究者たちの調査により判明した。RedLine Stealer とは、オンライン・ハッカー・フォーラムを通じて販売されている Malware-as-a-Service (MaaS) プラットフォームだ。Web ブラウザを標的にして、認証情報や支払いカードの詳細などの、様々なユーザー情報を収集する。さらに、次の攻撃にむけて攻撃対象領域を評価するために、システムのインベントリを取得する。

MacStealer という新たな macOS マルウェア：iCloud Keychain からパスワードを窃取

New MacStealer macOS malware steals passwords from iCloud Keychain

2023/03/27 BleepingComputer — Mac ユーザーを標的とする、MacStealer とう名の新たな情報スティーラー・マルウェアが、iCloud KeyChain や Web ブラウザに保存されている認証情報や暗号通貨ウォレットなどの、機密ファイルなどを窃取しているようだ。この MacStealer は、Malware-as-a-Service (MaaS) として配布されており、開発者はプレメイドのビルドを $100 で販売し、購入者はキャンペーンでマルウェアを拡散している。Uptycs 脅威研究チームが発見した MacStealer は、macOS Catalina 10.15 〜 Ventura 13.2 の環境で動作するという。

Stealc 情報スティーラーは MaaS へと進化：YouTube 動画をルアーに使用

Researchers Discover Numerous Samples of Information Stealer ‘Stealc’ in the Wild

2023/02/21 TheHackerNews — ダークウェブで宣伝されている Stealc という新しい情報スティーラーが、他の同種のマルウェアの有力な競合相手として頭角を現しているようだ。SEKOIA は 2月20日 (月) のレポートで、「Stealc は、完全な機能を備え、即座に使用できるスティーラーとして脅威アクターに紹介されている。そのテクノロジーは、Vidar／Raccoon／Mars／RedLine などのスティーラーを拠り所にしている」と述べている。

Mirai ベースの Medusa ボットネット：ランサムウェア機能を備えて再登場

Medusa botnet returns as a Mirai-based variant with ransomware sting

2023/02/07 BleepingComputer — Miraiコードをベースにした、Medusa という DDoS ボットネットの新バージョンが、ランサムウェア・モジュールと Telnet ブルートフォースターを搭載し、野放し状態で暴れまわっている。Medusa とは、2015年からダークウェブで宣伝されている、昔からのマルウェア株 (同名の Android トロイの木馬とは別物) であり、2017年には HTTP ベースの DDoS 機能が追加されている。

Titan Stealer という情報スティーラーを発見：Golang ベースで検出を巧みに回避

Titan Stealer: A New Golang-Based Information Stealer Malware Emerges

2023/01/30 TheHackerNews — Titan Stealer という名の Golang ベースの新たな情報窃取型マルウェアが、Telegram チャンネルで宣伝されていることが判明した。Uptycs のセキュリティ研究者である Karthickkumar Kathiresan と Shilpesh Trivedi の最新のレポートには、「このスティーラーは、感染した Windows マシンから、ブラウザや暗号ウォレットからのクレデンシャル・データ／FTP クライアントの詳細／スクリーンショット／システム情報／掴んだファイルなどの、さまざまな情報を盗み出す」と記されている。

Golden Chickens という Malware-as-a-Service：背後で操る人物を追跡せよ

Experts Uncover the Identity of Mastermind Behind Golden Chickens Malware Service

2023/01/27 TheHackerNews — Golden Chickens という Malware-as-a-Service の背後にいる脅威アクターの身元が、現実世界でのオンライン・ペルソナ “badbullzvenom” として活動している人物であると、サイバー・セキュリティ研究者たちが明らかにした。eSentire の Threat Response Unit (TRU) は、16ヶ月に及ぶ調査を経て発表した包括的なレポートの中で、「２人の人物が “badbullzvenom” アカウントを共有されているという、複数の言及を発見した」と述べている。

Emotet が新たなバイパス手法で再登場：クレカ窃取と横移動の新モジュールを追加

Emotet Malware Makes a Comeback with New Evasion Techniques

2023/01/24 TheHackerNews — マルウェア Emotet は、Bumblebee／IcedID などの危険なマルウェアの感染経路となる一方で、その手口を改良し、レーダーを回避し続けている。2021年初頭に、捜査当局が Emotet のインフラを排除したが、同年末には活動を再開しており、フィッシング・メールを介して配布される、持続的な脅威として存在し続けている。このウイルスは、サイバー犯罪グループ TA542 (別名 Gold Crestwood／Mummy Spider) に帰属するものであり、バンキング型トロイの木馬として 2014年に登場した後に、マルウェア配布者へと進化してきた。

GodFather というバンキング・トロイの木馬：400 以上の金融アプリが標的

GodFather Android Banking Trojan Targeting Users of Over 400 Banking and Crypto Apps

2022/12/21 TheHackerNews — GodFather と呼ばれる Android バンキング・トロイの木馬が、16カ国にまたがる 400以上の銀行および、暗号通貨アプリのユーザーを標的としている。Group-IB が The Hacker Newsと共有したレポートには、「米国／トルコ／スペイン／イタリア／カナダなどのユーザーにサービスを提供する、215 の銀行および、94 の暗号ウォレット・プロバイダ、110 の暗号交換プラットフォームが、そのターゲットに含まれている」と記されている。

InTheBox というダークウェブ：金融サービスを標的とする Web インジェクションを提供

Darknet’s Largest Mobile Malware Marketplace Threatens Users Worldwide

2022/12/06 TheHackerNews — InTheBox と呼ばれるダークネット・マーケットプレイスの存在を、サイバーセキュリティ研究者たちが明らかにした。このマーケットプレイスは、2020年1月ころから利用されていたと見られている。ここでは、地域ごとに分類された 400 以上のカスタム Web インジェクションが提供されており、独自の攻撃を試みる攻撃者たちが購入できるようになっている。Resecurity は、「自動化を施したサービスにより、ユーザーである攻撃者たちは、モバイル・マルウェアに実装する最新の Web インジェクションを取得できる。この InTheBox は、モバイル・マルウェア用の高品質 Web インジェクションを提供する市場として、最大かつ唯一のものと言えるかもしれない」と述べている。

Laplas Clipper という新種のマルウェア：SmokeLoader キャンペーンによる拡散

SmokeLoader campaign distributes new Laplas Clipper malware

2022/11/08 SecurityAffairs — Cyble の研究者たちが発見した SmokeLoader キャンペーンでは、SystemBC／Raccoon Stealer 2.0 などのコミュニティ・マルウェアに加えて、Laplas として追跡されている新しいクリッパー・マルウェアも配布されている。専門家たちは、この２週間で 180種類以上のクリッパー・マルウェアのサンプルを検出しており、この数週間において脅威が広がっている状況を裏付けている。

Raccoon Stealer V2 の調査：収集されたアクティビティから実行プロセスを推測

Inside Raccoon Stealer V2

2022/11/02 TheHackerNews — Raccoon Stealer が再び話題になっている。米国当局は、このプログラムの背後にいるマルウェア・アクターの一人である Mark Sokolovsky を逮捕した。2022年7月に Raccoon Stealer は閉鎖されたが、その数カ月後に Raccoon Stealer V2 が流行りだしている。先週の、司法省 (DoJ) プレスリリースによると、このマルウェアは 5,000万件のクレデンシャルを収集したとのことだ。この記事では、Raccoon Stealer V2 情報窃盗犯の最新バージョンについて簡単に説明していく。

Raccoon Stealer が解体：ウクライナ人の Malware-as-a-Service 運営者が逮捕／起訴

Ukrainian charged for operating Raccoon Stealer malware service

2022/10/25 BleepingComputer — 26歳のウクライナ人 Mark Sokolovsky が、Raccoon Stealer というマルウェア・サービス (MaaS：Malware-as-a-Service) を介した、サイバー犯罪に関与したとして起訴された。Raccoon Stealer とは、MaaS モデルで配布される情報窃取型トロイの木馬であり、脅威アクターは $75／週あるいは $200／月でレンタルできる。利用者は、マルウェアのカスタマイズ／盗み出したデータ (ログとも呼ばれる) の取得／新しいマルウェア・ビルドの作成などを行うための、管理パネルへのアクセスが可能になる。

フィッシング最前線：18.8% の確率で Microsoft プラットフォーム防御を回避する悪意のメールたち

Email Defenses Under Siege: Phishing Attacks Dramatically Improve

2022/10/08 DarkReading — 今週は、サイバー攻撃者たちが仕掛ける攻撃が、Microsoft のデフォルト・セキュリティを回避しているというレポートがあり、また、セキュリティ専門家たちは、フィッシングの手口が驚くほど進化していることを明らかにした。脅威アクターたちが用いるテクニックには、ゼロポイント・フォントの難読化／クラウド・メッセージング・サービスへの混入／ペイロード起動の遅延などがあり、メール・プラットフォーム防御の弱点をついて、フィッシング攻撃を狡猾に行っている。また、被害者の調査／選定の頻度も上がっている。

Jupyter マルウェアの最新版：MSI インストーラーに隠れて広がり続ける

A New Jupyter Malware Version is Being Distributed via MSI Installers

2021/09/26 TheHackerNews — Jupyter は、医療機関や教育機関を狙うことで知られる .NET マルウェアであり、ほとんどのエンドポイント・スキャンを無効にすることで知られている。イスラエルの Morphisec は、「9月8日にが発見された新たな配信チェーンは、このマルウェアが継続的に活動していることを示すだけではなく、脅威アクターが効率的で回避可能な攻撃を開発し続けていることも示している。現在、攻撃の規模と範囲を調査している」と述べている。

Rust で書かれた Ficker Malware-as-a-Service はロシアから世界を狙う

Experts Shed Light On New Russian Malware-as-a-Service Written in Rust

2021/08/12 TheHackerNews — ロシアのアンダーグラウンド・フォーラムで販売／配布されている新種のマルウェアは、セキュリティの保護や解析を回避し、リバース・エンジニアリング作業を妨害するために、Rust で書かれるという新たな傾向を示している。この Ficker Stealer という名のマルウェアは、トロイの木馬化した Web リンクや、危険な Web サイトを経由して伝播し、Spotify Music や YouTube Premium やMicrosoft Store などの正規サービスの、無料ダウンロードを提供するという詐欺ページに被害者を誘い込む。

Prometheus TDS という MaaS (Malware-as-a-Service) とトラフィック操作攻撃

A Wide Range of Cyber Attacks Leveraging Prometheus TDS Malware Service

2021/08/05 TheHackerNews — 複数のサイバー犯罪グループが、MaaS (Malware-as-a-Service) ソリューションを活用して、Campo Loader / Hancitor / IcedID / QBot / Buer Loader / SocGholish などのペイロードを展開する悪意のソフトウェア配布キャンペーンを、ベルギーの個人や米国の政府機関／企業／法人に対して実施している。この Prometheus というサービスは、2020年8月からアンダーグラウンドなプラットフォームで月額250ドルで販売されている。マルウェアが混入された Word や Excel のドキュメントを配布することで、ユーザーをフィッシング・サイトや悪意のサイトに誘導することを目的とした、TDS (Traffic Direction System) であることが、The Hacker News に共有された Group-IB の報告書で明らかになった。