TokyoBlackHatNews

securityweek.com 4分で読了

OnyxC2スティーラー、月額250ドルのMaaSでサイバー犯罪者に企業レベルの窃取能力を提供

OnyxC2スティーラーは今年初めにサイバー犯罪ネットワーク上に出現し、月額250ドルから利用できるMalware-as-a-Service(MaaS)として提供されています。

OnyxC2のレンタル料金はスティーラーの中でも高価格帯に位置しますが、その価格はステルス性と広範なターゲット範囲によって正当化されています。開発者が提供するプランは「ノーマル」が月額250ドル、HNVCを含む「プレミアム」が月額500ドルで、ビルドが検出された場合には返金対応も行うと自信をのぞかせています。 

3つ目のオプションは「プライベート」と呼ばれるもので、「ソースコード+インストールガイド付き。知識がなければ代わりにインストールもします。6,000ドル一択。」と説明されています。このオプションには月額料金の記載がなく、買い切り型と思われますが、その点も明記されていません。

BlackFogの研究者たちはスティーラーのサンプルを2点入手し、分析を行いました。同社は「商用製品と同様に販売・サポートされているソフトウェアであり、これが自前で開発できないような買い手の手に高性能スティーラーを渡すことになる」と指摘しています。一般ユーザーへの配慮として、パッケージにはFinePrint、SystemSettings、偽のWindowsアップデートパッケージ、そしてゲーマー向け(誰もが当てはまるかもしれませんが)のFling-Standaloneなど、複数のおとりファイルも同梱されています。

OnyxC2が対象とするアプリケーションの範囲は非常に広範です。開発者によれば、Chromiumベースのブラウザ37種、Geckoベースのブラウザ8種、Chromium拡張機能95種とGecko拡張機能14種(二要素認証専用の拡張機能6種を含む)、パスワードマネージャー5種、暗号通貨ウォレット17種、FTPクライアント11種、メールクライアント5種に対応しているとのことです。さらにVPN、リモートアクセス、メッセージング、メモアプリ、ゲーミング関連のターゲットも含まれており、BlackFogによれば9カテゴリー合計で約210のアプリケーションおよび拡張機能が対象となっています。

同社はさらに、「保存済みログインに加えてパスワードマネージャーや2FA拡張機能も収集するスティーラーは、パスワードリセット後も有効な認証情報やセッション情報を盗み出すよう設計されています。FTPやメールをターゲットに含めることで、一般的な認証情報の窃取にとどまらず、中小企業の財務・オペレーションチームが日常的に利用するビジネスシステムにまで踏み込んでいます。管理パネルに表示された感染済みホストの1台では、すでに保存パスワード55件、Cookie 4,717件、オートフィル入力719件、カード2件、ウォレット1件が流出していました」と述べています。広範な対象範囲とステルス性に加え、持続的なアクセス維持機能も特筆すべき点です。

このスティーラーはリモートアクセスツールキットと組み合わせて提供されており、Webブラウザ経由のHVNC、LSASSダンプ、メモリおよびディスク上でのRunPE、リバースSOCKS5プロキシ、スクリーンショット取得、キーロガー、ファイルマネージャー、HTTP経由のリバースシェル、内蔵TORトンネル、AES-256暗号化されたビルドのダウンロードといった機能を備えています。これらすべてが開発者のオンライン「販売」ページに記載されているわけではなく、継続的な開発が行われていることをうかがわせます。

ステルス性についてはBlackFogが検証しています。「配布アーカイブ2件はいずれも、VirusTotalへの初回アップロード時にクリーン判定を受け、内部の悪意あるコンポーネントも2026年5月30日の最終確認時点で未検出のままでした。」ビルドのダウンロードはAES256で暗号化されています。 

ビルドの中には有効な認証署名を持つ正規アプリケーションが含まれており、VirusTotalでは71のエンジンすべてで検出ゼロとなっています。これにNVIDIAグラフィックライブラリに偽装したDLLが組み合わされており、正規コンテンツの末尾にペイロードが付加されています。被害者がアプリケーションのインストールを実行すると、悪意のあるDLLも同時に読み込まれます。ペイロードは実行時まで暗号化されたままで、スティーラーが起動してデータ収集を開始する瞬間に初めて解除されます。

これほどの対象範囲を持つスティーラーは、侵害された1台のワークステーションを足がかりに、その人物の職業生活全体への永続的なアクセスへと変えてしまいます。ステルス性と持続機能の組み合わせにより、そのアクセスが長期にわたって維持されることが確かなものとなります。

総じて、商用製品さながらの悪意あるソフトウェアであるOnyxC2の存在は、スティーラーの脅威が衰えるどころか、ますます巧妙化・高度化していることを如実に示しています。

翻訳元: https://www.securityweek.com/onyxc2-stealer-offers-cybercriminals-enterprise-grade-theft-for-250-a-month/

ソース: securityweek.com
#AES-256暗号化 #BlackFog #HVNC #OnyxC2 #VirusTotal回避 #サイバー犯罪 #パスワード窃取 #マルウェア・アズ・ア・サービス #情報窃取型マルウェア #暗号通貨ウォレット

関連記事

アラート疲労:それ自体がセキュリティ脅威となる時代

ハッカーがLangflowの脆弱性を悪用してリモートコード実行

SiemensがDesigo CCのパッチファイルをセキュリティエンジンがマルウェアとして誤検知と発表