山岳砂漠地帯のぼやけた背景を背にした黒いワタリガラスの鳥出典: Arto Hakola(Alamy Stock Photo経由)
新たな軽量型情報窃取型マルウェア「Raven」が、アンダーグラウンドフォーラムやクラックされたソフトウェアを通じてクライアント環境に侵入し、Chromiumブラウザやその他のアプリケーションからデータを抜き取っています。検知を回避するため、Telegramチャットアプリを利用した独自の流出手法が用いられています。
主にDelphiとC++で記述された、いわゆるRaven Stealerの作成者は、「ステルス性と効率性」を重視してマルウェアを開発したと、Ravenを発見したPoint WildのLat61 Threat Intelligenceの研究者は述べています。Ravenは「最小限のユーザー操作で動作しつつ、高度な隠蔽性を維持し、さまざまなアプリケーションから認証情報を窃取する」と指摘されています。
このマルウェアの悪意ある活動には、Google ChromeやMicrosoft EdgeなどChromium系ブラウザからのCookie、自動入力エントリ、閲覧履歴、その他のデータの収集、他のアプリケーションからの認証情報の窃取、そしてTelegramボットとの連携によるリアルタイムのデータ流出が含まれると、今週公開されたブログ記事でPoint Wild Lat61 Threat Intelligenceチームは述べています。
軽量でアンダーグラウンドフォーラム経由で配布されているため、この情報窃取型マルウェアは「個人および企業環境の両方にとって持続的な脅威となる」と、Lat61 Threat Intelligenceの研究者Onkar R. Sonawaneは投稿で述べています。
Raven Stealerは、情報窃取能力だけでなく、「メモリ上での実行やTelegramによる流出」など痕跡を隠す方法においても、一般的なマルウェアの進化を示していると、チームリーダーでPoint WildのCTOであるZulfikar Ramzanは指摘します。「攻撃者が高度な手法を、技術力の低い者でも使えるツールに組み込んでいることを思い出させてくれる」と述べています。
攻撃者は専用のTelegramチャンネルを通じてこの情報窃取型マルウェアを宣伝し、チャットアプリをコマンド&コントロール(C2)運用に統合しています。また、マルウェアは洗練されたユーザーインターフェースと動的モジュールのサポートを提供し、「一般的なマルウェアとしての魅力を高めている」とSonawaneは記しています。
Raven Stealerのマルウェア実行の詳細
実行されると、Ravenのペイロードは直ちに報告メカニズムを起動し、収集したすべてのデータ(ログイン認証情報、システム情報、ブラウザ関連のアーティファクトなど)を整理された形式でまとめます。「このレポートは脅威アクター、通称“管理者”への円滑な送信のために構造化されており、遠隔から盗まれた情報にアクセス・閲覧できるようになっています」とSonawaneは述べています。
この情報窃取型マルウェアの主な標的は、保存されたパスワードやセッションクッキーなどのブラウザベースの認証データであり、Chrome、Brave、その他類似ブラウザのローカルストレージパスや認証情報保管庫にアクセスしてデータを抽出します。
「この動作により、攻撃者はアカウント侵害やデータ流出、さらなる横展開のための機密ログイン情報を収集できるようになります」とSonawaneは説明しています。
Ravenの特徴的な点の1つは、アプリケーションやブラウザから盗んだデータの流出方法だと、Point Wildは指摘しています。
「注目すべき機能の1つは、Telegramを利用した流出であり、パスワードやブラウザのクッキー、決済情報などの盗まれたデータが暗号化されたメッセージングチャネルを通じて送信され、多くの従来型セキュリティフィルターを回避します」とSonawaneは記しています。
情報窃取型マルウェアは、収集した認証情報やシステム情報を整理されたフォルダ階層にまとめ、データのアクセスや送信を効率化します。その後、抽出したブラウザのアーティファクトを被害者マシンのCドライブ上の特定の場所にプレーンテキストファイルとして保存します。
次に、TelegramのチャットIDとボットトークンを読み込み、EdgeブラウザのLocal Stateファイルに保存されているAES暗号鍵にアクセスすることで流出プロセスを開始します。「この鍵は、クッキーや認証情報などの機密ブラウザデータの復号に使用されます」とSonawaneは記しています。
マルウェアは復号したデータを別のCドライブ上の場所にプレーンテキスト形式で保存し、被害者のデスクトップのスクリーンショットを取得・保存、すべての収集アーティファクトをZIPアーカイブに圧縮し、TelegramのAPIエンドポイントを使って攻撃者に送信します。
Ravenが流出を完了すると、ネットワーク対応のセーフモードで再起動し、UltraAVアンチウイルスを使って悪意あるファイルを削除し、悪意ある活動の痕跡を消去します。
企業が情報窃取型マルウェアを軽減する方法
クライアント側ブラウザから機密データを盗む情報窃取型マルウェアの数は現在、まさに流行レベルに達しており、法執行機関の取り締まりもその勢力を抑制しつつあります。
Ravenのような新たな情報窃取型マルウェアが登場する中、攻撃者はLumma、Vidar、Chaesなど、より古参の情報窃取型マルウェアも定期的に拡散し続けています。これらの情報窃取型マルウェアは単体でも危険ですが、ランサムウェアやフィッシング、窃取した認証情報を利用した二次攻撃など、さらなる悪意ある活動の入り口にもなっています。
Ravenや他の情報窃取型マルウェアの影響を軽減するために、組織は行動ベースの脅威検知、Telegramトラフィックの厳重な監視、フィッシング手法に関するユーザー教育、脆弱性を塞ぐためのソフトウェアの継続的なパッチ適用を実施すべきだと、Sonawaneは推奨しています。
また、組織はウイルス対策保護を最新状態に保ち、リアルタイム保護を有効にし、組織全体で従業員が職場のIT環境で海賊版やクラック版ソフトウェアをダウンロードするのを防ぐ必要があります。これにより、情報窃取型マルウェアの一般的な配布経路を遮断できると、彼は付け加えています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/raven-stealer-scavenges-chrome-data-telegram