セキュリティ研究者たちは、一般的な情報窃取マルウェアのクロスサイトスクリプティング(XSS)脆弱性を発見・悪用し、バックエンド運用に関する重要な証拠を収集した方法について詳しく説明しました。
身元情報セキュリティ企業CyberArkのマルウェア研究者Ari Novickは、ブログ投稿でStealCの亜種のウェブパネルでXSSバグが発見されたと説明しました。
「StealCグループの中核事業がクッキー盗難であることを考えると、StealC開発者はクッキーの専門家であり、XSS経由でのクッキー盗難を防ぐためにhttpOnlyなどの基本的なクッキーセキュリティ機能を実装していることが期待されるでしょう」と彼は説明しました。
「皮肉なことに、大規模なクッキー盗難を中心に構築された作戦は、教科書的な攻撃からその独自のセッションクッキーを保護することに失敗しました。」
情報窃取マルウェアの詳細:MFA障害により情報窃取マルウェアが50社に侵入
このレポートは、マルウェアを通じて390,000個のパスワードと3,000万以上のクッキーを盗むことに成功した、「YouTubeTA」と称されるStealCユーザーに焦点を当てていました。
XSSの悪用により、Novickは脅威行為者のコンピュータ上の地理的位置を含む特定の特性を特定し、アクティブなセッションクッキーを取得することができました。
Novickは、ほとんどの被害者がAdobe PhotoshopおよびAdobe After Effectsのクラック版を探してYouTubeにいたとき、知らぬ間にStealCをインストールしたと主張しました。
「YouTubeTAはおそらくStealCを使用して古いYouTubeアカウントを乗っ取り、その後StealCの新しいサンプルを宣伝するために使用していた」と彼は説明しました。
ハードウェアフィンガープリント、サポートされる言語、タイムゾーン、および脅威行為者によるStealCの使用に関連するIPアドレスを調査することで、Novickは彼らについてのいくつかのことを推測することができました。
特に注目すべきは、M3プロセッサ搭載のApple Proデバイスを使用し、英語とロシア語の両方の言語設定をサポートし、東ヨーロッパ標準時ゾーンに基づいており、ウクライナのISP TRK Cable TV経由でインターネットにアクセスしているということです。
情報窃取マルウェアの長所と短所
CyberArkによると、StealCのようなマルウェア・アズ・ア・サービス(MaaS)作戦は、わずか数ヶ月で大規模な被害者グループに侵害することに成功したYouTubeTAのような脅威行為者に強力なボックス外の機能を提供しています。
「これは多くの脅威行為者がMaaSモデルを採用する理由を明確に示しています」とNovickは続けました。「多くの作業を他のグループに委譲することで、彼らは専門化でき、従来の産業と同様に、より大きな影響を与えることができます。」
しかし、このようなツールに依存することで、脅威行為者は正当なビジネスと同じソフトウェアサプライチェーンリスクにも自分たちを晒しています。
「StealC開発者はクッキーセキュリティとパネルコード品質の両方に弱点を示し、顧客に関する多くのデータを収集することができました」とNovick結論付けました。
「これがマルウェアを販売する他の脅威行為者にも当てはまる場合、研究者と法執行機関は同様の欠陥を活用して、多くのマルウェアオペレーターについての洞察を得ることができ、おそらくその身元を明かすことさえできます。」
翻訳元: https://www.infosecurity-magazine.com/news/researchers-exploit-bug-stealc/
