違法ソフトウェアを通じて感染が広がる「情報窃取系マルウェア」

昨今、「情報窃取系マルウェア」の活動が活発化しており、弊社のGSOC(Global SOC)でもその攻撃や感染の事象を数多く確認しています。情報窃取系マルウェアとはその名の通り、感染した端末上でユーザーや端末に関するさまざまな情報を窃取し、悪用することを狙ったマルウェアです。

窃取される情報の代表的なものはユーザーのID/パスワード情報で、これが悪用されると不正アクセスやなりすまし攻撃など、より悪質な攻撃へと発展していく恐れがあります。また窃取されたID/パスワード情報が闇サイトで売買されて広く流通することも多く、これにより他の攻撃グループによるなりすまし攻撃の危険性も高まります。

加えて、近年における暗号通貨の急速な普及に伴い、ユーザーの端末上で動作しているソフトウェアウォレットや暗号通貨アプリケーションから暗号通貨を窃取する機能を備えた情報窃取系マルウェアも数多く確認されるようになりました。

なお情報窃取系マルウェアの感染経路はさまざまですが、最近特に目立つのはクラッキングされた違法ソフトウェアや海賊版ソフトウェアのダウンロードを介した感染事例です。このことについては先日別の記事でも紹介したばかりですが、コピープロテクトやライセンス認証の仕組みをクラッキングによって不正に回避して、極端に安い値段で販売されているパッケージセフトウェア製品は、多くの場合マルウェアが仕込まれています。

値段の安さにつられてこれらのクラッキングソフトウェアをダウンロードしてしまうと、中に仕込まれていた情報窃取系マルウェアに感染してしまい、端末上から個人情報を含むさまざまな情報を抜き取られてしまう恐れがあります。

「CryptBot」の挙動から情報窃取系マルウェアの危険性を知る

こうした情報窃取系マルウェアの一例として、最近特にその活動が活発化しているのが「CryptBot」です。今回はこのCryptBotの挙動を追いながら、実際にこの手のマルウェアがどのような情報を窃取するのか紹介してみたいと思います。

まずCryptBotは感染した端末上で動作するWebブラウザからログイン情報やCookie、保存されたパスワード、閲覧履歴といった情報を窃取します。情報窃取の対象となるWebブラウザの種類は多岐に渡っており、GoogleChrome、Firefox、Opera、Brave、Vivaldiなど実に多くの製品をカバーしています。

また感染端末のマシンスペックやOS、インストールされているソフトウェアの種類といったさまざまなプロフィール情報も収集し、これらをテキストファイルにまとめて保存します。さらにデスクトップ上に保存されている.txtファイルも取得し、マルウェアによって作成されたディレクトリにコピーします。

そして近年特に問題視されているのが、ユーザーが端末内で管理している暗号通貨を窃取する機能です。弊社のGSOCでは、CryptBotが以下のようなソフトウェアウォレットや暗号通貨アプリケーションから暗号通貨を窃取する機能を強化していることを確認しています。

・Monero
・MultiBitHD
・Jaxx Liberty
・Exodus Eden
・Waves Client
・Waves Exchange
・Electron Cash
・Electrum
・Coinomi
・Ledger Live
・Atomic

こうして広範囲に渡って窃取した情報は、最終的には.zip形式のアーカイブファイルに圧縮され、マルウェア内にハードコードされたC&CサーバーのURLに送信されます。なお本件で確認されたC&Cサーバーのドメインは「geolfi46[.]top」でした。

怪しげなサイトや業者からソフトウェアを絶対に入手しようとしない

既に紹介したように、現在こうした情報窃取系マルウェアの感染経路として、クラッキングされたソフトウェアのダウンロードが用いられています。従っていくらソフトウェアが安価に手に入るからといっても、開発元や代理店の正規サイト以外の怪しげなサイトからソフトウェアをダウンロードしたり、入手元が不明なソフトウェアを業者や個人から入手するのは絶対に避けるべきです。

もし万が一情報窃取系マルウェアの感染が疑われる場合は、窃取された情報がC&Cサーバーに送信されることを阻止するために、速やかに該当端末をネットワークから隔離します。そしてマルウェアに感染していないことが確認されている別の端末から、感染端末に保存されている認証情報(ブラウザに保存されているパスワードなど)をリセットする必要があります。

ただし普段からこうした対策を強く意識していたとしても、感染に気付くのが少しでも遅れてしまえば貴重な情報をあっさり抜き取られてしまいます。従ってもし万が一情報窃取系マルウェアに感染してしまったら、その旨をいち早く検知し、実害が生じる前に速やかに対処する必要があります。

そのために現状で最も有効な手段の1つと見られているのが、端末上でマルウェアが活動を始めた瞬間にその動きを検知できる「EDR(Endpoint Detection and Response)」です。中でも弊社のEDR製品「Cybereason EDR」は国内で最大級のシェアを誇るとともに、情報窃取系マルウェアの検知・対処にも豊富な実績を持っています。
また弊社では、「NGAV(次世代アンチウイルス)」製品「Cybereason NGAV」も提供しています。自社の貴重な情報をこうしたリスクから守るための備えとしてぜひ導入をお勧めしたいと思います。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド