Vidar – IoT OT Security News

Stealc 情報スティーラーは MaaS へと進化：YouTube 動画をルアーに使用

Researchers Discover Numerous Samples of Information Stealer ‘Stealc’ in the Wild

2023/02/21 TheHackerNews — ダークウェブで宣伝されている Stealc という新しい情報スティーラーが、他の同種のマルウェアの有力な競合相手として頭角を現しているようだ。SEKOIA は 2月20日 (月) のレポートで、「Stealc は、完全な機能を備え、即座に使用できるスティーラーとして脅威アクターに紹介されている。そのテクノロジーは、Vidar／Raccoon／Mars／RedLine などのスティーラーを拠り所にしている」と述べている。

QBot／Lokibot／AgentTesla が Top-3 という調査結果：2023年1月のマルウェア・レポート

Lokibot, AgentTesla Grow in January 2023’s Most Wanted Malware List

2023/02/14 InfoSecurity — Check Point が、2023年1月の Global Threat Index レポートを発表しが、2023年1月の Most Wanted Malware リストにおいて、AgentTesla が 2022年12月の９位から３位に返り咲いたことが明らかになった。また、インフォ・スティーラー Lokibot は、Top-10 圏外から２位へと大きく伸びている。さらに、ブランド・ジャッキングの増加により Top-10 リストに復帰した、インフォ・スティーラー Vidar は、RDP ソフトウェア AnyDesk に関連する偽ドメイン拡散が確認されている。

Titan Stealer という情報スティーラーを発見：Golang ベースで検出を巧みに回避

Titan Stealer: A New Golang-Based Information Stealer Malware Emerges

2023/01/30 TheHackerNews — Titan Stealer という名の Golang ベースの新たな情報窃取型マルウェアが、Telegram チャンネルで宣伝されていることが判明した。Uptycs のセキュリティ研究者である Karthickkumar Kathiresan と Shilpesh Trivedi の最新のレポートには、「このスティーラーは、感染した Windows マシンから、ブラウザや暗号ウォレットからのクレデンシャル・データ／FTP クライアントの詳細／スクリーンショット／システム情報／掴んだファイルなどの、さまざまな情報を盗み出す」と記されている。

Raccoon／Vidar 情報スティーラーが蔓延：AnyDesk／Notepad++／Zoom などをルアーに使う

Raccoon and Vidar Stealers Spreading via Massive Network of Fake Cracked Software

2023/01/16 TheHackerNews — Raccoon や Vidar などの情報窃取型マルウェアの配布において、250以上のドメインで構成される大規模で弾力性のあるインフラが、2020年初頭から利用されている。サイバー・セキュリティ企業である SEKOIA は、今月の初めに発表した分析で、「偽のソフトウェア・カタログを使用すると、約 100 の Web サイトへとリダイレクトされた後に、GitHub などのファイル共有プラットフォームでホストされている、ペイロードをダウンロードすることになる」と述べている。

AnyDesk に大量の偽サイト：Vidar マルウェアを配布する 1,300 以上のドメイン

Over 1,300 fake AnyDesk sites push Vidar info-stealing malware

2023/01/10 BleepingComputer — AnyDesk の公式サイトを装う 1,300以上のドメインを用いて、情報スティーラー・マルウェア Vidar を仕込んだ Dropbox フォルダーへと、すべてのターゲットをリダイレクトさせる、大規模なキャンペーンが進行中だ。AnyDesk は、Windows／Linux／mac OS向けの、リモート・デスクトップ・アプリであり、セキュアなリモート接続／システム管理のために、世界中で数百万人が使用している。この人気から、AnyDesk は、マルウェア配布キャンペーンで頻繁に悪用されている。たとえば、2022年10月に、AnyDesk のフィッシング・サイトを利用する Mitsu Stealer のオペレーターが、新しいマルウェアをプッシュしていることを Cyble が報告している。

ウクライナ CERT 対ロシア IAB：新たなデータワイパー・キャンペーンの発見と追跡

Ukrainian CERT Discloses New Data-Wiping Campaign

2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。

大規模タイポスクワット・キャンペーン：Android／Windows ユーザーを狙う 600+ のドメインを列挙

Typosquat Campaign Targeting Android, Windows Users Now Counts 600+ Domains

2022/10/26 InfoSecurity — この週末に Cyble と BleepingComputer が発見した大規模なタイポスクワット・キャンペーンだが、それに関連する大規模なドメイン群を示唆する、いくつかの兆候がセキュリティ研究者たちにより明らかにされた。一連の攻撃では、Windows／Android ユーザーが標的とされ、200種類以上のタイポスクワット・ドメインにおいて、27件のブランドが模倣されていた。現時点において DomainTools は、さらに疑わしいインフラを発見したと説明しており、InfoSecurity と共有するブログ投稿で、その詳細を説明している。

ハッカー御用達の PrivateLoader 課金サービス：高度な NetDooka バックドアが展開されている

Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware

2022/05/06 TheHackerNews — PrivateLoader という PPI (pay-per-install) マルウェア・サービスが、NetDooka という極めて高度なフレームワークを配布し、攻撃者が感染させたデバイスを完全にコントロールしている状況が発見された。木曜日に Trend Micro は、「このフレームワークは、PPI サービスを通じて配布され、ローダー／ドロッパー／保護ドライバーだけではなく、独自のネットワーク通信プロトコルを実装した、フル機能の RAT (remote access trojan) といった、複数のツールを含んでいる」と、レポートの中で述べている。

Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中

Several Malware Families Using Pay-Per-Install Service to Expand Their Targets

2022/02/08 TheHackerNews — PrivateLoader と呼ばれる Pay-Per-Install (PPI) 型のマルウェア・サービスを詳細に調査した結果、少なくとも 2021年5月以降で、SmokeLoader／RedLine Stealer／Vidar／Raccoon／GCleaner などのマルウェアの配信において、重要な役割を担っていることが明らかになった。

YouTube アカウントを乗っ取る Cookie-Stealing マルウェアとは？

Google: YouTubers’ accounts hijacked with cookie-stealing malware

2021/10/20 BleepingComputer — Google によると、金銭的な動機を持った脅威アクターがコーディネートしたフィッシング攻撃により、YouTube クリエイターのパスワードを盗み出す、マルウェアの標的になっているという。このキャンペーンは 2019年後半に、Google の Threat Analysis Group (TAG) の研究者たちにより発見されたものだが、攻撃の背後にはロシア語圏のフォーラムの求人広告で募集された、複数の hack-for-hire アクターが存在するとされている。