研究者らは、ソーシャルエンジニアリングと高度な難読化を用いてWindowsシステムから機密データを盗み出す、マルウェア・アズ・ア・サービス型インフォスティーラーAuraStealerに関する新たな詳細を明らかにしました。
アンダーグラウンドフォーラムで売り込まれているAuraStealerは、インフォスティーラーがモジュール化され、プロフェッショナル級の脅威へと進化していることを示しています。
このマルウェアは「例外駆動のAPIハッシュ化、疑わしいNTDLL呼び出しのためのHeaven’s Gateの活用、そしてリターンアドレス上のブレークポイントを検出するためのチェックの実行といった高度な手法を用いている」と、GenDigitalの研究者は述べています。
AuraStealerのマルウェア・アズ・ア・サービス(MaaS)モデル
AuraStealerはWindows 7からWindows 11までのWindowsシステムを標的にし、主にTikTokなどのソーシャルプラットフォーム上での、いわゆる「scam-yourself(自分で自分をだます)」キャンペーンを通じて拡散します。
被害者は、有料ソフトの無料アクティベーション、クラック版ゲーム、海賊版ツールなどを約束するチュートリアル動画に誘い込まれ、結果として自らマルウェアをインストールしてしまいます。
いったん展開されると、このスティーラーは認証情報、セッショントークン、金融データを大規模に収集でき、個人ユーザーと企業環境の双方にリスクをもたらします。
AuraStealerは、悪意あるソフトウェアインストーラー、クラック版ゲーム、マルチステージの実行チェーンなど、複数の配布方法をサポートしています。
これらのチェーンは、アンチウイルス検知を回避し、コアペイロードの実行を遅延させるために、カスタムローダーやDLLサイドローディング技術にしばしば依存します。
このモジュール式設計により、オペレーターは防御側の進化に合わせてキャンペーンを迅速に調整し、コンポーネントを入れ替えることができます。
このマルウェアはC++で開発され、バイナリサイズは比較的小さく500〜700KBで、月額295〜585ドルの段階的サブスクリプションモデルで販売されています。
購読者は、盗まれたデータの管理や標的の設定を行うためのWebベースのコントロールパネルにアクセスでき、AuraStealerが単発の脅威ではなく、新興の商用マルウェアプラットフォームとして位置付けられていることを裏付けています。
AuraStealerの回避技術の内側
AuraStealerの最も注目すべき強みは、その回避能力にあります。
中核機能を実行する前に、このマルウェアはサンドボックスや仮想マシンを検出するための広範な環境チェックを行います。
また、CISおよびバルト地域を回避するためにジオロケーションを確認し、少なくともCPUコア4つ、または稼働中プロセス200以上を要求するなど、システムリソースを検証します。
保護レイヤーなしで実行されると、AuraStealerはランダムなコード入力プロンプトを表示して自動解析を停止させ、追加のローダーの使用を強制します。
この挙動により、大規模な自動検知はより困難になります。
さらにこのマルウェアは、直接のジャンプやコールを、実行時にのみターゲットが計算される間接的なものに置き換えることで、間接制御フロー難読化を用います。
また、例外駆動のAPIハッシュ化も使用し、意図的にアクセス違反を発生させ、プログラムがWinMainに到達する前にインストールされたカスタム例外ハンドラーを通じて関数呼び出しを解決します。
文字列データはスタックベースのXOR暗号化で保護され、改ざん防止チェックではPEヘッダーに保存されたチェックサム比較によりファイル整合性を検証します。
インフォスティーラー感染による被害を抑える
AuraStealerのようなインフォスティーラーへの防御には、既知のマルウェアシグネチャをブロックするだけでは不十分です。これらの脅威はユーザー操作と、感染後のステルス性の高い挙動に大きく依存しているためです。
組織は初回実行が成功し得ることを前提に、複数段階で攻撃チェーンを分断することに注力すべきです。
- アプリケーション制御を強制して信頼できないバイナリの実行をブロックし、ユーザーが書き込み可能なディレクトリからの実行を制限する。
- DLLサイドローディング、異常な例外処理、およびインフォスティーラーに関連する不審なプロセス生成を監視する。
- 認証情報の窃取、クリップボードへのアクセス、スクリーンショット活動に焦点を当てた行動検知により、エンドポイント防御を強化する。
- エンドポイントで最小権限を強制し、ローカル管理者アクセスを減らすことで、攻撃者の影響を制限する。
- 異常な認証、セッショントークンの再利用、認証情報の不正使用を監視して、下流での悪用を検知する。
- ソーシャルエンジニアリング手口に関するユーザー教育、インフォスティーラーの兆候を対象とした継続的な脅威ハンティング、およびインシデント対応計画の定期的なテストを通じて、初期感染リスクを低減する。
強固なエンドポイント保護、認証情報とアクティビティの監視、そして十分に訓練された対応プロセスを組み合わせた多層的アプローチは、潜伏時間を短縮し、データ露出を減らすのに役立ちます。
インフォスティーラーマルウェアの進化
インフォスティーラーは、より回避的でモジュール化され、商用として成熟した脅威へと進化しており、洗練されたマルウェア・アズ・ア・サービスのエコシステムを通じて配布されることが少なくありません。
新規のエクスプロイトに依存するのではなく、攻撃者は従来型防御をすり抜けるために、ソーシャルエンジニアリング、正規に見える配布チャネル、高度な難読化技術へとますます傾倒しています。
このアプローチにより、技術的な高度さやゼロデイ脆弱性の必要性を抑えつつ、キャンペーンを迅速に拡大できます。
その結果、ユーザー行動、実行制御、感染後の検知が厳密に管理されていなければ、防御が堅牢な環境であっても侵害され得ます。
この変化に対応するため、組織は侵害を前提とし、アクセスを継続的に検証するゼロトラストモデルへと移行しています。
翻訳元: https://www.esecurityplanet.com/threats/gendigital-research-exposes-aurastealer-infostealer-tactics/
