Telegramで宣伝され、ベーシックプランが月額175ドルという新しいモジュール型インフォスティーラー「SantaStealer」は、犯罪者のクリスマスの夢をかなえると約束している。「最も厳格なアンチウイルス」を搭載したシステムや、政府・金融機関などの主要標的に属するシステム上でも「完全に検知されずに」動作できると豪語している。
ロシア語話者の運用者は月曜日に、認証情報とウォレットを盗むマルウェアを公開した。インフォスティーラーは決して歓迎すべきニュースではないが、防御側にとっての贈り物もある。これまでに確認されたサンプルは「検知不能どころか程遠い」うえ、解析が非常に容易だ。
これはRapid7のセキュリティ研究者ミラン・シュピンカの見解で、マルウェア開発者がこのピカピカの新ツールを公開する少し前に、スティーラーについてのブログを投稿している。
「いま観測しているサンプルがSantaStealerの最新ビルドなのか、それとも遅延があって、いまになって初期バージョンを見ているだけなのか判断が難しい」とシュピンカはThe Registerに語った。「いずれにせよ、私たちが解析したペイロードは、解析妨害や回避機能が著しく不足しており、非常に基本的なanti-VM/anti-debuggingチェックを実装しているだけだった。」
さらに、マルウェアハンティングチームが解析したサンプルは「関数やグローバル変数の元の名前を含んでおり、文字列暗号化やコード難読化を一切行っていないため、解析はかなり簡単だ」と付け加えた。
それでもこれはインフォスティーラーであり、この種のマルウェアは、被害者のITシステムへの初期アクセスを得るために、ランサムウェアギャングのお気に入りであり、その他の金銭目的の犯罪者にも好まれている。したがって、うっかりダウンロードして自分のコンピュータで実行し、攻撃者に機密アカウントや企業ネットワーク向けに保存しているユーザー名とパスワードを渡してしまうような事態は避けたい。
不審なリンクやメール添付ファイルを避けるとともに、偽の人間確認や、コンピュータ上でコマンドを実行させようとする偽のテクニカルサポートの指示に注意することを推奨します
「SantaStealerは機密文書、認証情報、暗号資産ウォレットを狙う」とシュピンカは述べた。「不審なリンクやメール添付ファイルを避けるとともに、偽の人間確認や、コンピュータ上でコマンドを実行させようとする偽のテクニカルサポートの指示に注意することを推奨する。」
Rapid7チームは今月初めにSantaStealerを初めて発見し、難読化もストリップもされていないサンプルを解析した。64ビットDLLであるこのマルウェアには、「payload_main」「check_antivm」「browser_names」「notes_config_size」「notes_config_data」といった説明的な名前のエクスポートシンボルが500以上含まれており、さらに認証情報窃取機能を示す暗号化されていない文字列が「大量に」含まれていた。
Blueline Stealerのリブランド
これらの文字列の1つにはSantaStealerのTelegramチャンネルへのリンクが含まれており、そこでは、Blueline Stealerという以前のスティーラーのリブランドであると告知されていた。運用者は匿名の開発者2人組で、Telegramのハンドルは@weuploaddata(表示名「Cracked」)と@furixlol(表示名「Furix」)だ。
「なぜ彼らがローンチ前にスティーラーの名称を変更したのかは不明だが、キャッチーな名前で注目を集める手段としてのリブランド施策の一環かもしれない」とシュピンカはThe Registerに語った。「Blueline Stealerの活動は2025年7月まで遡って追跡でき、開発者はこのための専用Telegramチャンネルでログの証拠を共有していた。」
Blueline Stealerの開発者は、「Cracked」というハンドルのアクターと、「Furix」というハンドルのパートナーだ。
Telegramチャンネルから研究者は、価格情報を掲載したアフィリエイト用ウェブパネルを見つけた。ベーシック版は月額175ドルで、プレミアム版は月額300ドルとなっている。
Telegramに加え、開発者はロシア語圏のハッカーフォーラム「Lolz」でもSantaStealerを宣伝している。
「このロシア語フォーラムの利用、ウェブパネルのトップレベルドメインがソ連の国別コード(su)であること、そしてスティーラーを設定してロシア語話者の被害者を標的にしないようにできる(後述)ことは、運用者がロシア国籍であることを示唆している。インフォスティーラー市場ではまったく珍しくない」とシュピンカはブログに書いている。
解析したサンプルに基づくと、このスティーラーはファイルレス収集へ移行しつつあるようで、モジュールとChrome復号DLLはメモリ上にロードされ、インメモリで実行される。これにより、マルウェアはファイルベースの検知を回避しやすくなる。
ユーザーのデータを盗んだ後、マルウェアはそれを圧縮し、10MBのチャンクに分割してから、暗号化されていないHTTPでコマンド&コントロールサーバーへ送信する。
技術分析に加え、Rapid7のレポートには侵害指標(IoC)の一覧も含まれているので、必ず確認してほしい。そして、シュピンカが休暇シーズンを前に促すように、「安全に過ごし、悪い子リストに載らないように!」®
