このマルウェアはデスクトップ画面やウェブカメラを通じて被害者を監視し、ブラウザ、暗号資産ウォレット、ゲームストア、メッセージングアプリケーションから機密データを盗み出します。
地下フォーラムに関する継続的な調査の中で、Solar 4RAYSの研究者は、閉鎖的なダークウェブコミュニティ内で共有されたWebratに関する議論や広告を発見しました。
初期サンプルは2025年1月に公開され、すでにサブスクリプションモデルでサイバー犯罪者に販売されていました。
Webratは主に情報窃取型(スティーラー)として機能し、Steam、Discord、Telegramなどの人気ゲーム/コミュニケーションプラットフォームの認証情報に加え、暗号資産ウォレットのログインデータを標的にします。
また、ユーザーインターフェースを完全に制御し、ダウンロードブロッカーや暗号資産マイナーなどの追加ペイロードをインストールできるリモート制御モジュールも含まれています。
Webratの配布戦略は、GitHubやYouTubeのコメント欄といった正規のプラットフォームを悪用し、ゲーム用ツールに偽装したマルウェアを拡散するという増加傾向を浮き彫りにしています。
こうした悪意あるビルドは、ゲーム内での優位性を付与したり、対戦相手にチートの可能性があるかをスキャンできたりするソフトウェアを装うことがよくあります。
同様に、GitHubリポジトリには改変された「概念実証(proof-of-concept)」プロジェクトや正規ソフトのクラック版が置かれ、特に無料ツールや、ブロックされたアプリケーション向けのパッチを探しているユーザーをだましてマルウェアをダウンロードさせます。
実行されると、Webratはコマンド&コントロール(C2)サーバーに接続し、盗んだデータを送信するとともに、侵害されたシステム上で遠隔操作を行います。
Solar JSOC (Joint Security Operations Center)から収集されたテレメトリによると、Webratは暗号化されたHTTP(S)チャネルを使用し、ネットワーク検知を回避するために設定詳細を隠蔽します。
ゲーマーに限らず、海賊版や未検証のソフトウェアをインストールするオフィス従業員も被害者になり得ると専門家は警告しており、機密性の高い社内情報が露出する可能性があります。
研究者は、Webratの運用者が盗んだ個人情報を恐喝に利用したり、被害者の所在地に対して虚偽の緊急通報(スワッティング)を行い、恐怖や危害を引き起こそうとしたりしたことを示唆する議論を発見しました。
リスクを低減するために、Solar 4RAYS は、信頼できるアンチウイルスまたはエンドポイント保護ソリューションを導入し、信頼できないプラットフォームからファイルをダウンロードしないようユーザーに助言しています。
インシデント対応チーム向けに、研究者は既知のC2サーバーアドレスを含む侵害指標(IOC)を Solar 4RAYSブログで公開し、企業環境全体でWebrat関連の活動を特定してブロックできるよう支援しています。
翻訳元: https://cyberpress.org/github-proof-of-concept-malware/